베트남에서 시작된 것으로 추정되는 사이버 위협 그룹이 아시아 및 동남아시아 전역의 금융 데이터를 노린 일련의 사이버 공격을 하고 있는 것으로 드러났다. 한국 금융기관들도 각별히 주의를 기울여야 한다.

시스코 탈로스 보안 연구원들이 코랄레이더(CoralRaider)라고 명명한 이 그룹은 지난 2023년 5월부터 활동해 왔다고 전했다.

코랄레이더는 금전적인 동기를 가지고 해킹 범죄를 저지르고 있으며 주로 피해자의 자격 증명, 금융 데이터, 소셜 미디어 계정을 탈취하는 데 집중하고 있는 집단이다. 특히 인도, 중국, 한국, 방글라데시, 파키스탄, 인도네시아, 베트남 등 국가를 공격 대상으로 삼고 있다.

이 그룹은 쿼사 RAT의 맞춤형 변종인 RotBot과 XClient 스틸러를 비롯한 다양한 멀웨어를 사용한한다. 이러한 멀웨어 도구는 로그인 자격 증명, 금융 데이터, 소셜 미디어 계정 세부 정보 등 감염된 시스템에서 민감한 정보를 수집하도록 설계되었다. 특히 XClient는 널리 사용되는 웹 브라우저와 소셜 미디어 플랫폼을 표적으로 삼아 공격자가 결제 방법, 페이스북 비즈니스 및 광고 계정과 관련된 권한 등 광범위한 정보를 수집할 수 있도록 한다.

공격 체인은 윈도우 바로 가기 파일(LNK)을 배포하는 것으로 시작되지만, 공격 대상에게 배포하는 방법은 아직 명확하지 않다. 피해자는 이러한 파일을 열면 공격자가 제어하는 서버에서 HTML 애플리케이션(HTA) 파일을 무심코 다운로드하고 실행하게 된다. 이 파일은 일련의 파워셸 스크립트를 트리거해해 보안 조치를 우회하고 멀웨어 페이로드를 배포한다.

탈취된 데이터는 사이버 범죄자들이 민감한 정보를 판매하여 수익을 얻을 수 있는 지하 시장을 통해 수익화한다. 특히, 텔레그램은 피해 컴퓨터에서 탈취한 정보를 유출하는 데 사용되고 있다.

코랄레이더 그룹이 베트남으로 추정되는 이유는 통신 언어 선호도, 멀웨어 페이로드에 하드코딩된 베트남어 단어, 텔레그램 봇 채널 사용 등 다양한 요인에 근거한다.

코랄레이더 사이버 위협 그룹은 정교한 전술과 금융 데이터 도용에 중점을 두어 아시아 및 동남아시아 전역의 사이버 보안에 심각한 위험을 초래하고 있다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★