MORPHEUS라는 코드명의 조직적인 법 집행 작전을 통해 사이버 범죄 집단에서 사용했던 약 600개의 서버가 파괴되었으며, 이는 코발트 스트라이크와 관련된 공격 인프라의 일부였습니다.
유로폴에 따르면, 이번 단속은 6월 24일부터 28일 사이에 이루어진, 오래되고 허가받지 않은 코발트 스트라이크 레드팀 프레임워크를 표적으로 삼았습니다.
범죄 활동과 관련이 있는 것으로 27개국에서 온라인 서비스 제공업체에 표시된 690개 IP 주소 중 590개는 더 이상 접근할 수 없습니다.
2021년에 시작된 이 합동 작전은 영국 국가범죄수사국(NCA)이 주도했으며 호주, 캐나다, 독일, 네덜란드, 폴란드, 미국 당국이 참여했습니다. 불가리아, 에스토니아, 핀란드, 리투아니아, 일본, 한국의 공무원이 추가 지원을 제공했습니다.
Cobalt Strike는 Fortra(구 Help Systems)에서 개발한 인기 있는 적대적 시뮬레이션 및 침투 테스트 도구로, IT 보안 전문가에게 보안 운영 및 사고 대응의 취약점을 식별하는 방법을 제공합니다.
그러나 이전에 구글과 마이크로소프트가 발견했듯이, 소프트웨어의 크랙된 버전이 악의적인 해커의 손에 들어갔고, 그들은 이를 악용하여 반복적으로 사후 익스플로잇 목적으로 악용했습니다.
SecureWorks의 위협 인텔리전스 부문 부사장인 돈 스미스는 The Hacker News에 공유한 성명에서 “Cobalt Strike는 사이버 범죄자와 국가 행위자들의 스위스 군용 칼입니다.”라고 말했습니다.
“Cobalt Strike는 랜섬웨어의 선구자를 포함하여 오랫동안 사이버 범죄자들이 선택한 도구였습니다. 또한 러시아와 중국과 같은 국가 행위자들이 사이버 스파이 캠페인에 침입을 용이하게 하기 위해 사용합니다. 발판으로 사용되어 피해자에게 지속적인 백도어를 제공하는 데 매우 효과적인 것으로 입증되었습니다.”
Trellix에서 공유한 데이터에 따르면 미국, 인도, 홍콩, 스페인, 캐나다가 Cobalt Strike를 사용하는 위협 행위자의 표적이 되는 국가의 70% 이상을 차지합니다. Cobalt Strike 인프라의 대부분은 중국, 미국, 홍콩, 러시아, 싱가포르에 호스팅됩니다.
Palo Alto Networks Unit 42의 최근 보고서에 따르면, 여기에는 Beacon이라는 페이로드가 사용되는데, 이는 Malleable C2라는 텍스트 기반 프로필을 사용하는 Beacon의 웹 트래픽 특성을 변경하여 감지를 피하려는 시도입니다.
NCA의 위협 리더십 책임자인 폴 포스터는 성명을 통해 “Cobalt Strike는 합법적인 소프트웨어이지만 안타깝게도 사이버 범죄자들은 이를 불법적인 목적으로 악용하고 있습니다.”라고 밝혔습니다.
“불법적인 버전은 사이버 범죄에 대한 진입 장벽을 낮추는 데 도움이 되었고, 온라인 범죄자들이 기술적 전문 지식이 거의 없거나 전혀 없이도 피해를 주는 랜섬웨어와 맬웨어 공격을 쉽게 감행할 수 있게 되었습니다. 이러한 공격은 회사에 손실과 회복 측면에서 수백만 달러의 손실을 초래할 수 있습니다.”
스페인과 포르투갈의 법 집행 기관이 은행 직원으로 가장하고 계좌 문제를 해결한다는 명목으로 개인 정보를 제공하도록 속여 노인을 상대로 범죄를 저지른 혐의로 54명을 체포한 데 이어, 이 같은 사건이 발생했습니다.
그런 다음 세부 정보가 범죄 조직의 다른 구성원에게 전달되었고, 그들은 예고 없이 피해자의 집을 방문하여 신용 카드, PIN 코드, 은행 계좌 정보를 제공하도록 압력을 가했습니다. 일부 사례에는 현금과 보석을 훔친 것도 포함되었습니다.
결국 이 범죄 계획을 통해 범죄자들은 목표물의 은행 계좌를 장악하거나 ATM에서 무단으로 현금을 인출하고 값비싼 물건을 구매할 수 있게 되었습니다.
유로폴은 이번 주 초에 “범죄자들은 사기성 전화 통화와 사회 공학을 혼합하여 2,500,000유로의 손실을 입혔습니다.”라고 밝혔습니다.
“자금은 사기꾼들이 통제하는 여러 스페인 및 포르투갈 계좌에 입금되었고, 그곳에서 정교한 자금 세탁 계획으로 흘러들어갔습니다. 조직의 전문가 구성원이 감독하는 광범위한 자금 운반책 네트워크가 불법 자금의 출처를 위장하는 데 사용되었습니다.”
이번 체포는 라오스를 포함한 여러 국가에서 인신매매 조직을 해체하기 위해 인터폴이 취한 조치와 유사한 조치에 따른 것입니다. 라오스에서는 여러 베트남인들이 고소득 일자리를 약속받고 유혹을 받아 금융 사기를 위해 사기성 온라인 계정을 만들도록 강요받았습니다.
“피해자들은 하루에 12시간씩 일했고, 다른 사람을 모집하지 못하면 14시간까지 연장되었고, 서류는 압수당했습니다.”라고 기관은 말했습니다. “가족들은 베트남으로의 귀환을 보장하기 위해 최대 10,000달러를 갈취당했습니다.”
지난주, 인터폴은 온라인 사기 및 조직범죄 네트워크를 붕괴시키기 위해 61개국에 걸쳐 실시한 글로벌 경찰 작전을 통해 2억 5,700만 달러 상당의 자산을 압류하고 6,745개의 은행 계좌를 동결했다고 밝혔습니다.
Operation First Light라고 불리는 이 훈련은 피싱, 투자 사기, 가짜 온라인 쇼핑 사이트, 로맨스, 사칭 사기를 표적으로 삼았습니다. 이를 통해 3,950명의 용의자가 체포되었고 모든 대륙에서 14,643명의 다른 용의자가 확인되었습니다.