블랙문 악성코드, 인도 납세자를 겨냥한 사이버 첩보 공격 발생

인도 납세자 대상 블랙문 악성코드 사이버 첩보 공격 확인

eSentire의 위협 대응 부서(Threat Response Unit, TRU) 연구진은 인도 사용자를 대상으로 한 블랙문(Blackmoon) 멀웨어를 이용한 지속적인 사이버 첩보 공격을 발견했다. 이 공격은 2026년 1월 현재 활발히 진행 중이며, **인도 소득세청(Income Tax Department of India)**을 사칭한 피싱 이메일을 통해 다단계 백도어를 유포하고 있다. 공격자는 사회공학 기법을 활용해 피해자가 악성 파일이나 링크를 다운로드하고 실행하도록 유도한다.

공격의 기술적 세부 사항

이 공격의 배후 세력은 다단계 감염 체인을 활용한다. 공격은 인도 세무청을 사칭한 피싱 이메일로 시작되며, 이메일에는 악성 첨부파일 또는 링크가 포함되어 있다. 피해자가 이를 클릭하면 악성 아카이브 파일이 다운로드되며, 이를 실행하는 순간 블랙문 멀웨어가 시스템에 설치된다.

현재까지 구체적인 CVE ID는 공개되지 않았지만, 이 멀웨어는 다음과 같은 기능을 수행한다:

• 감염된 시스템에서 지속성 유지
• 민감 데이터 유출(예: 금융 기록, 개인 식별 정보)
• 공격자를 위한 원격 접근 활성화
• 난독화 기법을 통한 탐지 회피

이 공격의 인프라 구조는 사이버 첩보 목적을 시사하며, 데이터 탈취, 감시, 또는 금융 사기를 목표로 할 가능성이 높다.

영향 분석

세금 관련 피싱 유인물은 인도에서 세금 신고 기간 동안 성공 확률을 높인다. 공격이 성공할 경우 다음과 같은 피해가 발생할 수 있다:

• 금융 및 개인정보에 대한 무단 접근
• 피해자가 업무용으로 사용하는 장치가 감염될 경우 기업 또는 정부 시스템 침해
• 네트워크 내 추가 멀웨어 확산
• 사기 또는 공갈로 인한 금전적 손실

첩보 목적을 고려할 때, 특히 금융, 정부, 핵심 인프라 분야의 조직은 사고 대응을 최우선으로 해야 한다.

방어 권고 사항

보안 팀과 인도 사용자는 다음 조치를 취해 위험을 완화해야 한다:

1. 이메일 진위 확인

   • 발신자 주소를 교차 검증하고, 요청받지 않은 세금 관련 이메일의 링크나 첨부파일 클릭을 피한다.
   • 세금 신고는 공식 정부 포털(예: incometax.gov.in)을 이용한다.

2. 엔드포인트 보호 강화

   • 블랙문과 같은 다단계 멀웨어를 탐지할 수 있는 고급 위협 탐지 솔루션을 배포한다.
   • 행위 분석을 활성화해 비정상적인 프로세스 실행을 감지한다.

3. 사용자 인식 교육

   • 피싱 시뮬레이션 훈련을 실시해 직원과 개인이 세금 관련 사기 수법을 인식하도록 교육한다.
   • 첨부파일 열기 또는 자격 증명 입력 전 검증 절차를 강조한다.

4. 네트워크 모니터링

   • 알려진 명령 및 제어(C2) 서버로의 비정상적인 아웃바운드 트래픽을 모니터링한다.
   • 감염 시 횡적 이동 제한을 위해 네트워크 세분화를 구현한다.

5. 사고 대응 준비

   • 랜섬웨어 또는 데이터 삭제 공격으로부터 복구를 위해 최신 백업을 유지한다.
   • 멀웨어 감염에 대비한 대응 플레이북을 마련하고, 격리 및 포렌식 분석 절차를 포함한다.

결론

이번 공격은 국가 지원 또는 금전적 동기를 가진 공격자가 세금 시즌을 악용해 사이버 첩보를 수행하는 지속적인 위협을 보여준다. 인도 내 조직과 개인은 경계심을 유지하고, 선제적인 보안 조치를 통해 진화하는 피싱 및 멀웨어 공격에 대응해야 한다.

자세한 내용은 eSentire TRU의 원본 보고서를 참조한다.