맨디언트 “랜섬웨어 그룹 클롭·FIN11 소행으로 파악”
[데이터넷] 공격자들이 오라클 ERP 솔루션 ‘이 비즈니스 스위트(EBS)’ 취약점을 악용해 데이터를 훔쳐 협박하고 있는 것으로 알려진다.
이에 롭 두하트(Rob Duhart) 오라클 시큐리티 CSO는 3일 블로그를 통해 “EBS 사용 고객이 협박 이메일을 수신했다는 사실에 대해 조사하고 있으며, 7월 패치 업데이트를 통해 해결된 기존 취약점을 악용한 것으로 파악하고 있다”며 “오라클 고객은 즉시 보안 패치 업데이트를 시행해야 한다”고 권고했다.
한편 이 사고를 조사하고 있는 구글 맨디언트와 구글 위협 인텔리전스 그룹(GTIG)은 수백개의 해킹된 계정을 이용해 대규모 이메일 캠페인이 진행되고 있다고 밝혔다. 이 중 최소 한 개의 계정이 금전목적의 FIN11 그룹과 관련된 것이며, 공격에 사용된 이메일에 표시된 연락처가 클롭 데이터 유출 사이트(DLS)에도 게시된 것이다.
맨디언트와 GTIG는 FIN11이 클롭 데이터 유출 공격과 연관되어 있으며, FIN11이 작전을 위해 클롭의 인지도를 악용하고 있는 것으로 분석하고 있다. 공격자들이 클롭과 제휴관계를 맺었다고 주장하면서 많은 회사의 임원에게 협박 이메일을 보냈기 때문이다.
찰스 카르마칼(Charles Carmaka) 구글 클라우드 맨디언트 컨설팅 CTO는 “아직까지는 FIN11이나 클롭이 이번 사고를 일으켰다는 직접적인 증거는 찾지 못했다. 금전적 동기를 가진 사이버 범죄 영역에서 위협 행위자를 식별하는 과정은 복잡하며, 위협 행위자는 피해자에 대한 영향력과 압박을 높이기 위해 클롭과 같은 위협 그룹을 모방하는 경우가 빈번하기 때문”이라며 “피해 조직이 자체 환경에 대한 조사를 실시해 위협 행위자의 공격 활동 증거를 확보하는 것이 필요하다”고 말했다.
한편 클롭은 고애니웨어, 무브잇, 클레오 등 파일전송 도구의 제로데이 취약점을, FIN11은 액셀리온(현 카이트웍스)의 제로데이 취약점을 악용하는 랜섬웨어 그룹이다. 과거 일부 캠페인에서 클롭과 FIN11이 연관됐다는 증거가 발견되기도 했지만, 확실한 증거가 발견된 것은 아니다.
