최근 블랙베리 연구 및 인텔리전스 팀은 멕시코 금융 기관을 타깃으로 한 사이버 공격 캠페인 AllaKore(올라코어) RAT 멀웨어의 수정된 버전이 유포되고 있다고 발표했다.
중남미에서 시작된 것으로 추정되는 이 위협은 2021년부터 체계적으로 취약점을 악용해 총 매출이 1억 달러를 초과하는 대기업을 지속적으로 표적으로 삼고 있다.
이 캠페인은 주로 피싱 또는 드라이브 바이 침해를 통해 배포되는 ZIP 파일로 시작되는 정교한 감염 체인을 사용한다. 공격자는 맥시코에 있는 타깃을 확인하고 변경된 AllaKore RAT를 검색하는 역할을 하는 .NET 다운로더를 드롭한다. 2015년에 처음 발견된 이 멀웨어는 금융 사기를 용이하게 하기 위해 위협 공격자들에 의해 업데이트된 것이다.
올라코어 RAT는 기본적인 구조는 비슷하지만 키로깅, 화면 캡처, 파일 업로드/다운로드, 심지어 피해자의 컴퓨터를 원격으로 제어할 수 있다. 특히 멕시코 은행과 가상화폐 거래 플랫폼을 노리는 금융 사기에 특화된 기능이 추가된 것이 이 변종과 차별화되는 점이다.
위협 행위자는 소매업, 농업, 공공 부문, 제조, 운송, 상업 서비스, 은행 등 다양한 분야를 집중적으로 공격하고 있다.
블랙베리의 연구 결과에 따르면, 멕시코 스타링크 IP를 사용해 멕시코와의 연관성이 분명한 라틴 아메리카에 기반을 둔 알려지지 않은 위협 행위자가 관여한 것으로 나타났다. 수정된 RAT 페이로드에는 스페인어로 된 지침이 포함되어 있어 이 지역이 연루된 것으로 추정된다.
놀랍게도 이 위협 행위자는 지난 2년 동안 지속적으로 활동해 왔으며, 더욱 공격을 확대해 나가고 있다
한편 연구원들은, 비트코인 ATM의 취약점을 발견했다. CVE-2024-0175, CVE-2024-0176, CVE-2024-0177을 포함한 이러한 취약점은 물리적 액세스 권한을 가진 공격자가 기기를 제어하고 임의의 코드를 실행할 수 있게 해준다. 다행히도 이러한 문제는 2023년 10월에 해결된 바 있다.
올라코어 RAT 캠페인과 비트코인 ATM의 취약점은 금융 기관을 노리는 사이버 위협이 점점 더 정교해지고 있다는 말해준다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★