감염된 장치에 대한 원격 접근 권한 확보, 조직 민감 데이터 외부로 유출
카스퍼스키(지사장 이효은)는 6월 23일, 글로벌 연구 분석팀(GReAT)이 세금 위반 관련 통지 문서로 위장하여 악성 파일을 활용한 APT 공격인 ‘실버폭스(SilverFox)’를 탐지했다고 밝혔다. 업체 측에 따르면 감염이 발생할 경우, 공격자는 감염된 장치에 대한 원격 접근 권한을 확보하고 조직의 민감 데이터를 외부로 유출할 수 있다.
카스퍼스키는 2025년 12월 이후 관찰된 SilverFox 해커 그룹의 새로운 사이버 공격 캠페인을 여러 차례 분석했다. 해당 캠페인은 인도, 인도네시아, 남아프리카공화국, 러시아의 산업, 컨설팅, 무역, 운송 분야 기업을 대상으로 수행됐다.
(인도 내 피해자에게 유포된 피싱 이메일)
피싱 이메일은 공식 세무 감사 통지로 위장하거나 ‘세금 위반 목록’이 포함된 압축 파일을 다운로드하도록 유도하는 방식으로 제작됐다. 공격자는 세무 당국의 권위와 긴급성을 악용해 피해자가 파일을 다운로드하고 공격 체인이 실행되도록 유도했다. 1월부터 2월 사이에만 1,600건 이상의 악성 이메일이 탐지됐다는 설명이다.
위협 행위자는 기존 공격에 사용된 ValleyRAT 백도어를 통해 새로운 Python 기반 백도어 ‘ABCDoor’를 배포하며 도구 세트를 확장했다고 업체 측은 전했다. ABCDoor는 2024년 말부터 APT 공격 도구군에 포함되어 2025년 전반에 걸쳐 사용됐다.
해당 백도어는 파일 업로드 및 다운로드 기능을 제공하며, 다수의 피해자 화면을 거의 실시간으로 스트리밍하고 클립보드에 접근하는 등 감염 시스템을 원격으로 제어할 수 있고, 자체 업데이트 기능도 포함한다. 또한 이전에 공개되지 않았던 수정된 RustSL 변종이 ValleyRAT 전달에 사용됐으며, 이는 2025년 12월 말 처음 도입됐다.
카스퍼스키의 글로벌 연구 분석팀(GReAT)의 안톤 카르긴 선임 보안 연구원은 “이번 캠페인에서 사회공학이 핵심 역할을 수행했다. 공격자는 세무 당국과 같은 공식 기관의 커뮤니케이션에 대한 사용자 신뢰를 악용했다”며, “동시에 SilverFox는 주요 악성 페이로드 전달을 위해 다단계 전달 방식과 다수의 이메일 주소 및 도메인을 활용했다”고 밝혔다. 이어, “이는 공격 체인 전반에서 탐지 및 차단 가능성을 낮추며 전체적인 위협 수준을 높인다”라고 말했다.
카스퍼스키코리아 이효은 지사장은 “한국은 세계에서 가장 디지털화된 경제 중 하나로, 기업들이 전자정부 및 세무 시스템에 깊이 의존하고 있어 세무 당국을 사칭한 피싱 공격이 특히 효과적으로 작동할 수 있는 환경이다”고 밝혔다. 이어, “SilverFox가 인도와 인도네시아에서 활용한 전술은 국내에서도 쉽게 재현될 수 있다. 현재 APT 그룹들은 공격 도구 체인을 빠르게 고도화하며 진입 장벽을 낮추고 있다”며, “이제 한국 기업들은 단순한 경계 보안에만 의존해서는 안 되며, 임직원 보안 인식 교육과 엔드포인트 탐지 및 대응(EDR) 역량을 동시에 강화해야 이러한 고도화된 사회공학과 기술적 공격 결합에 효과적으로 대응할 수 있다”라고 말했다
<저작권자(c)스마트앤컴퍼니. 무단전재-재배포금지>
