디젤 보텍스 피싱 캠페인, 美·유럽 운송·물류 기업 공격

디젤 보텍스 피싱 캠페인, 글로벌 운송·물류 업계 표적

보안 연구진에 따르면, 금전적 동기를 가진 위협 그룹 Diesel Vortex가 미국과 유럽의 운송 및 물류 업체를 대상으로 대규모 피싱 캠페인을 진행 중이다. 이 캠페인은 52개의 악성 도메인을 활용해 운송 및 공급망 분야 조직의 자격 증명을 탈취하고 있다.

캠페인 개요 및 기술적 세부 사항

Diesel Vortex 그룹은 최소 2024년 초부터 활동 중이며, 스피어 피싱(spear-phishing) 이메일을 통해 기업 자격 증명을 탈취하는 데 주력하고 있다. 공격자는 타이포스쿼팅(typosquatting) 도메인을 사용해 합법적인 물류 플랫폼을 모방한 가짜 로그인 페이지에 직원을 유인한다.

주요 기술적 특징은 다음과 같다:

• 캠페인과 연계된 52개 도메인 등록, 많은 도메인이 물류 관련 키워드를 사용 (예: freight-portal[.]com, logistics-auth[.]net).
• 피싱 이메일은 운송업체나 관세 기관 등 신뢰할 수 있는 파트너로 위장해 신뢰도를 높임.
• 자격 증명 탈취 페이지는 합법적인 로그인 포털과 유사하게 설계되며, 주로 침해된 호스팅 서비스나 불법 호스팅 서비스에서 호스팅됨.
• 현재까지 CVE 취약점은 확인되지 않았으며, 공격은 소셜 엔지니어링에 의존함.

영향 및 동기

이 캠페인은 금전적 동기로 추정되며, 탈취된 자격 증명은 다음 목적으로 사용될 가능성이 높다:

• 비즈니스 이메일 침해(BEC) 공격을 통한 결제 전환 또는 중요 화물 탈취.
• 공급망 사기, 예를 들어 송장 조작이나 화물 절도.
• 정보 수집 또는 네트워크 내 추가 침투.

운송 및 물류 업체는 복잡한 공급망, 빈번한 금융 거래, 외부 협력업체 의존도가 높아 피싱 및 BEC 공격에 특히 취약하다.

조직을 위한 대응 권고 사항

운송 및 물류 분야의 보안 팀은 다음 조치를 취해 위험을 완화해야 한다:

1. 도메인 모니터링 및 차단

   • DNS 필터링을 배포해 Diesel Vortex와 연계된 악성 도메인을 차단.
   • 물류 관련 키워드를 사용한 신규 등록 도메인을 모니터링.

2. 직원 교육 및 인식 제고

   • 가짜 로그인 페이지 탐지 능력을 향상시키기 위한 피싱 시뮬레이션 훈련 실시.
   • 결제 요청 또는 자격 증명 제출 시 검증 프로토콜 강조.

3. 다중 인증(MFA) 강화

   • 모든 기업 계정, 특히 이메일 및 금융 시스템에 MFA 적용.
   • 고위험 역할에는 피싱 저항형 MFA(예: FIDO2 보안 키) 우선 적용.

4. 이메일 보안 강화

   • DMARC, DKIM, SPF를 구현해 이메일 스푸핑 방지.
   • 고급 위협 보호(ATP) 솔루션을 활용해 피싱 이메일 탐지 및 격리.

5. 사고 대응 준비

   • 자격 증명 침해 시나리오에 대한 대응 매뉴얼을 개발하고 테스트.
   • 이상 로그인 시도 또는 알려지지 않은 위치에서의 접근 모니터링.

결론

Diesel Vortex 피싱 캠페인은 중요 인프라 분야에 대한 소셜 엔지니어링 공격의 지속적인 위협을 보여준다. 운송 및 물류 업체는 다층 방어 접근법을 채택해 기술적 제어, 직원 교육, 사전 모니터링을 결합해야 한다. 보안 팀은 **침해 지표(IOC)**를 공유하고 업계 동료들과 협력해 캠페인 인프라를 무력화해야 한다.

IOC 전체 목록은 BleepingComputer의 원본 보고서를 참고하세요.