Silent Ransom 그룹, 가짜 IT 지원 전화로 로펌을 공략한다
Mandiant의 새로운 보고서에 따르면, Silent Ransom Group(침묵 랜섬 그룹) extortion(공갈) 조직이 미국 로펌 및 전문 서비스 조직을 대상으로 소셜 엔지니어링 공격을 활발히 전개하고 있으며, 초기 접촉 후 몇 시간 안에 데이터 절도가 발생하고 있다고 합니다.
이 보고서는 지난주 FBI FLASH 권고문에 이어 발표된 것으로, FBI는 Silent Ransom Group이 미국 로펌을 대상으로 소셜 엔지니어링 및 직접적인 데이터 절도 공격을 진행하고 있다고 경고했으며, Mandiant는 침투 방식에 대한 추가 기술적 세부 정보를 제공했습니다.
Mandiant에 따르면, UNC3753, Luna Moth, Chatty Spider 등으로 추적되는 이 위협 그룹은 2026년 1월부터 5월 사이에 법률, 금융, 전문 서비스 분야의 수십 개 조직을 목표로 삼았습니다.
Mandiant는 법률 사무소가 특히 매력적인 표적이 되는 이유는 방대한 양의 고감도 고객 정보를 보관하고 있으며, 평판 및 규제 손실을 피하기 위해 공갈 사건을 신속히 해결하려는 압박을 받을 수 있기 때문이라고 경고했습니다.
“법률 서비스 기업은 공갈 행위자에게 높은 가치를 지닌 표적입니다. 이들은 매우 민감한 고객 거래 파일, 인수·합병 계획, 고객 영업 비밀, 기업 규제 보고서 등을 집중적으로 보관하고 있습니다.” — Mandiant 설명
“위협 그룹은 법률 기관이 평판 및 규제 위험에 크게 노출되어 있다는 점을 인식하고, 전문적 위상을 보호하기 위해 공갈 상황을 조용히 해결하려는 동기가 강하다는 점을 활용합니다.”
연구원들은 공격이 소비자 이메일 계정에서 발송되는 청구서 형식 피싱 메일로 시작된다고 밝혔습니다. 이 메일에는 악성 링크나 첨부 파일이 없으며, 이후 공격자가 기업 IT 직원으로 가장해 전화를 걸어 추가 사전 작업을 진행합니다.
음성 전화를 통한 공격은 이 위협 행위자들이 수년간 사용해 온 전술이며, 이전에 Ryuk 및 Conti 랜섬웨어 공격과 연계된 BazarCall 소셜 엔지니어링 캠페인에서도 활용되었습니다. 콜백 피싱 공격이란, 위협 행위자가 경고성 또는 IT 관련 유인 문구가 포함된 무해해 보이는 피싱 메일을 보내고, 수신자가 메일에 기재된 전화번호로 회신하도록 유도하는 방식을 말합니다.
현재 캠페인에서 Silent Ransom Group은 IT 헬프데스크를 사칭해 직원들에게 Microsoft Teams, Zoom, Quick Assist, Microsoft Terminal Services 등을 통한 원격 지원 세션에 참여하도록 설득합니다.
이러한 세션 중에 위협 행위자는 대상자를 속여 AnyDesk, Zoho Assist, Bomgar, SuperOps와 같은 원격 모니터링 및 관리(RMM) 도구를 설치하게 만들고, 이를 통해 기업 네트워크에 초기 접근 권한을 획득합니다.
Silent Ransom Group 공격 흐름
Mandiant는 또한 캠페인과 연관된 피싱 도메인을 발견했으며, 이들 도메인은 내부 IT 포털을 사칭하는 다음과 같은 네이밍 패턴을 사용합니다:
-itdesk[.]com
-it[.]com
-helpdesk[.]com연구원들은 위협 행위자가 privnote[.]com(자동 소멸 메신저 서비스)을 이용해 원격 지원 세션 중 설치 링크와 명령을 대상에게 전달한다는 점도 밝혀냈습니다. Mandiant에 따르면, 이 전술은 브라우저 기록이나 기업 채팅 로그에 남는 포렌식 흔적을 최소화하는 데 도움이 됩니다.
네트워크에 침투한 뒤, 그룹은 계약서, 세금 기록, 사회보장번호, 인수·합병 관련 파일 등 민감한 법률·재무 문서를 탐색합니다. 공격자는 일반적으로 문서 관리 플랫폼 및 클라우드 스토리지 저장소를 먼저 노린 뒤, WinSCP 또는 Rclone과 같은 도구를 사용해 데이터를 유출합니다.
Mandiant는 이 공갈 작전이 매우 공격적이며, 공격자가 피해자 환경을 떠난 후 30분 이내에 몸값 요구가 이루어지는 경우가 많다고 전했습니다.
“이러한 고도로 공격적인 공갈 편지는 조직에게 3일 이내에 응답하고 몸값 협상을 시작하라는 기한을 부여합니다. 피해 조직이 응답하지 않을 경우, 위협 행위자는 대상 직원 및 외부 고객에게 직접 전화와 이메일을 보내 데이터 유출 사실을 알리겠다고 선언합니다.” — Mandiant 보고서
“공갈 편지는 유출이 고객 신뢰를 손상시키고, 막대한 규제 벌금을 초래하며, 외부 고객이 데이터 오용에 대해 피해 조직을 고소할 수 있음을 명시적으로 강조합니다.”
보고서는 또한 FBI가 최근 발표한 권고문을 인용하고 있는데, 해당 권고문에서는 Silent Ransom Group이 미국 로펌을 직접 방문해 데이터 절도 공격을 수행하고 있다고 경고했습니다.
FBI에 따르면, 공격자는 전화와 이메일을 통해 내부 IT 직원을 사칭한 뒤 원격 접근을 시도하거나 사무실을 직접 방문해 컴퓨터를 “이미징”하거나 백업을 만든 뒤 파일을 몰래 탈취합니다.
Mandiant는 포렌식 증거가 제한적이라고 밝혔지만, 연구원들은 표적, 시기, 운영 방식의 유사성을 근거로 이러한 직접 방문 공격이 UNC3753과 연관될 가능성이 높다고 판단했습니다.
Silent Ransom Group은 최소 2022년부터 활동해 왔으며, 당시 Ryuk 및 Conti 사이버 범죄 조직의 일원으로 알려졌습니다.
BleepingComputer가 이전에 보도한 바와 같이, 이 위협 행위자는 과거 BazarCall 콜백 피싱 캠페인과 연계돼 Conti와 Ryuk 랜섬웨어 공격에서 초기 접근을 제공했습니다.
2022년 Conti 조직이 해체된 뒤, 그룹은 Silent Ransom Group이라는 브랜드 아래 독립적인 데이터 절도 및 공갈 작전으로 전환했습니다.
연구원들은 이제 이 그룹이 전통적인 랜섬웨어 암호화에 의존하지 않고, 데이터 절도 공갈에 전념하고 있다고 설명합니다. 즉, 민감한 데이터를 탈취한 뒤 유출을 방지하기 위해 피해자에게 금전적 대가를 요구하는 방식입니다.
이번 주에 별도로 발표된 Resecurity 보고서에 따르면, 이 조직은 데이터 유출 플랫폼을 숨기고 보호하기 위해 Fast‑Flux 인프라도 운영하고 있습니다.
Fast‑Flux DNS는 공격자가 도메인의 IP 주소를 다수의 감염된 장치 풀을 통해 지속적으로 회전시켜 인프라를 은폐하고 차단이나 폐쇄를 어렵게 만드는 기법입니다.
Resecurity에 따르면, 해당 인프라는 여러 국가와 ISP에 걸친 주거용 IP 주소를 활용해 차단을 더욱 어렵게 만들고 있습니다.
또한 Resecurity는 이 그룹의 “business-data-leaks[.]com” 유출 사이트와 관련 인프라가 라틴아메리카, 동유럽, 중앙아시아, 중동, 아시아 전역에 분산된 주거용 프록시 네트워크에 의존하고 있다고 밝혔으며, 이 인프라가 다른 사이버 범죄 서비스 및 도메인과도 연결돼 있음을 확인했습니다.
공격에 대비하기 위해 Mandiant와 FBI는 다음과 같은 방안을 권고합니다:
- IT 지원 상호작용에 대한 엄격한 검증 절차 도입
- 원격 접근 도구 사용 제한
- 다중 인증(MFA) 적용 강화
- USB 저장 장치 사용 제한
- 음성 피싱 시도를 인식하도록 직원 교육
