러시아 사용자를 겨냥한 다단계 피싱 공격, Amnesia RAT와 랜섬웨어 유포

러시아 조직 겨냥한 정교한 피싱 캠페인 발견

Fortinet FortiGuard Labs의 보안 연구진이 러시아 사용자를 대상으로 한 다단계 피싱 캠페인을 발견했다. 이 공격은 랜섬웨어와 **Amnesia 원격 접속 트로이목마(RAT)**를 동시에 유포하며, 사회 공학 기법을 활용해 일상적인 비즈니스 문서로 위장한 악성 파일을 통해 감염을 유도하고 있다.

공격 체인의 기술적 분석

Fortinet 연구원 Cara Lin에 따르면, 이 캠페인은 정교하게 위장한 악성 문서로 시작되며, 피해자가 이를 실행하도록 유도한다. 전체 기술적 세부 사항은 아직 조사 중이지만, 공격은 다음과 같은 다단계 감염 프로세스로 진행되는 것으로 추정된다:

• 피싱 이메일을 통한 초기 침투 (무기화된 문서 포함)
• 악성 매크로 또는 익스플로잇 실행으로 2차 페이로드 다운로드
• Amnesia RAT 유포로 원격 접근 및 지속성 확보
• 랜섬웨어 암호화로 최종 공격 실행

Amnesia RAT의 사용은 공격자가 장기적인 시스템 접근을 목표로 하며, 이를 통해 데이터 유출, 내부 네트워크 이동, 또는 추가 악성코드 유포가 가능함을 시사한다.

영향 및 위협 분석

이번 캠페인은 러시아 조직에 다음과 같은 심각한 위험을 초래한다:

• Amnesia RAT를 통한 데이터 유출 위험
• 랜섬웨어 암호화로 인한 운영 중단
• 공갈 요구 또는 복구 비용으로 인한 재정적 손실
• 민감 정보 유출 시 첩보 활동 가능성

비즈니스 테마 문서를 활용한 공격은 기업 또는 정부 기관을 주로 겨냥한 것으로 보이며, 일상적인 파일 교환을 악성 첨부파일의 은폐 수단으로 활용하고 있다.

방어 대책 권고 사항

보안 팀은 다음 조치를 통해 위협을 완화해야 한다:

• 매크로 보안 정책 강화 – 신뢰할 수 없는 문서의 매크로 실행 차단
• 고급 이메일 필터링 – 피싱 유도 메일 탐지
• 이상 프로세스 실행 모니터링 (예: 문서에서 실행되는 바이너리)
• 네트워크 세분화 – 내부 이동 제한
• 오프라인 백업 유지 – 랜섬웨어 영향 최소화
• 직원 교육 – 사회 공학 기법 인식 강화

Fortinet은 현재 이 캠페인을 특정 위협 행위자나 알려진 악성코드 가족(Amnesia RAT 제외)과 연결 짓지 않았으며, 추가 침해 지표(IOC) 분석이 진행 중이다.

출처: The Hacker News