FBI, 협박 조직의 직접 데이터 절도 공격 경고

출처: Bleeping Computer

FBI, Silent Ransom Group의 현장 데이터 절도 경고

FBI는 화요일에 Silent Ransom Group(SRG) extortion gang이 이제 미국에 기반을 둔 로펌을 대상으로 현장 데이터 절도 공격을 진행하고 있다고 경고했습니다.

“2026년 봄 현재, SRG 행위자는 사회공학 기법을 사용해 피해자의 IT 부서 직원인 척합니다. SRG 행위자는 직접 전화를 걸거나 피싱 이메일을 보내 직원들에게 IT 지원을 가장한 SRG 행위자에게 전화를 걸도록 유도합니다,” 라고 FBI는 화요일 플래시 경보에서 밝혔습니다. [PDF]

전화 통화 중에 SRG 행위자는 직원에게 원격 데스크톱 세션에 접근하도록 지시합니다. 만약 이 시도가 실패하면 SRG는 위협 행위자를 피해자 위치로 보내 물리적 접근을 시도하고 저장 장치를 피해자 컴퓨터에 삽입합니다.

물리적 접근 기법

• 방법: 악성 행위자는 피해자 위치에 직접 방문하여 USB 드라이브나 외장 하드 드라이브를 피해자 컴퓨터에 연결함으로써 데이터를 탈취할 수 있습니다.

SRG 공격 징후

• 회사 컴퓨터에 외장 하드 드라이브 또는 USB 드라이브가 무단 설치된 경우.
• IT 지원을 가장한 신원 미확인자 또는 무단 인물이 나타나 컴퓨터에 접근을 시도하는 경우.

“전화 통화와 피싱 이메일을 통해 SRG 행위자는 IT 지원을 가장해 피해자 컴퓨터에 접근하고 데이터를 유출합니다. 일반적으로 합법적인 원격 접근 도구를 사용하거나, 직접 현장에 인력을 파견해 물리적으로 컴퓨터에 접근합니다,” 라고 FBI는 덧붙였습니다.

공갈 전술

• 데이터를 탈취한 뒤 SRG는 데이터를 판매하거나 유출 사이트에 공개하겠다고 위협하는 몸값 이메일을 보냅니다.
• 또한 피해자 직원이나 고객에게 전화를 걸어 몸값 협상을 시작하도록 압박할 수 있습니다.

위협 행위자 배경

• 별명: Luna Moth, Chatty Spider, UNC‑3753.
• 활동 연대: 최소 2022년부터 활동.
• 대상 분야: 미국 내 법률 및 금융 기관(2023년 초부터 로펌을 주요 표적으로 삼음).

이 그룹은 이전에 BazarCall 캠페인과 연관되어 있었으며, 해당 캠페인은 Conti와 Ryuk 랜섬웨어 공격에 대한 초기 접근을 제공했습니다.

2022년 3월, Conti가 종료된 후 이 행위자들은 더 큰 사이버 범죄 조직에서 분리되어 Silent Ransom Group(SRG)을 결성했으며, 표적 피싱 공격 이후 데이터 절도와 공갈 활동으로 알려졌습니다.

최근 경고 및 보고서

• 2025년 5월 FBI 민관 협력 알림: 동일한 공갈 조직이 2년 넘게 미국 로펌을 대상으로 콜백 피싱 및 사회공학 공격을 진행해 왔다고 경고했습니다.
• 2025년 5월 EclecticIQ 보고서: 공격자들이 주요 미국 로펌 및 금융 서비스 기업의 IT 헬프데스크나 지원 포털을 가장하기 위해 도메인을 등록하며, 종종 오타 도메인을 활용한다는 내용을 상세히 다루었습니다.

참고 자료

• FBI 플래시 경보 (PDF):
• MITRE ATT&CK – “Physical Access” (T1052/001):
• BleepingComputer – Luna Moth 배경:
• BleepingComputer – BazarCall 캠페인:
• BleepingComputer – Conti 종료:
• BleepingComputer – SRG 결성:
• BleepingComputer – 2025년 FBI 알림:
• BleepingComputer – EclecticIQ 보고서: