2025년에 새로운 피싱 킷과 악성 소프트웨어로 진화하는 분산형 스파이더

악명 높은 해킹 그룹 ‘Scattered Spider’는 지난해 여러 차례의 체포에도 불구하고 2025년에도 여전히 심각한 사이버 보안 위협을 끼치고 있습니다.

이 그룹은 정교한 소셜 엔지니어링 전략을 사용하지만 새로운 피싱 키트와 업데이트된 스펙터 RAT 맬웨어를 도입함으로써 그들의 방법을 진화시켰고, 이를 통해 고위험 회사들을 공격하고 있습니다.

사이버 보안 회사 Silent Push에 따르면, Scattered Spider는 Nike, T-Mobile, Louis Vuitton 및 Vodafone 등 주요 브랜드에 대한 공격을 적극적으로 수행하고 있습니다. 또한 그들은 Pure Storage와 Klaviyo와 같은 클라우드 저장소 및 마케팅 플랫폼을 포함한 타겟을 확장하였습니다.

2022년부터 이 그룹은 활동적이었고, 처음에는 Twilio와 MGM Resorts와 같은 회사들을 해킹하는 것으로 알려졌습니다. 이는 가짜 로그인 포털을 통해 직원들을 속여 로그인 자격 증명과 MFA 코드를 내주게 만드는 방식으로 이루어졌습니다.

몇몇 멤버들, 그 중에는 주장된 리더 타일러 부캐넌이 포함되어 2024년에 체포되었음에도 불구하고, 이 그룹은 새로운 멤버들과 개발자들이 그들의 도구와 기술을 개선하면서 다시 활동하게 되었습니다. 이는 Silent Push가 설명한 바입니다.

올해 가장 주목할 만한 변화 중 하나는 이제 Cloudflare에서 호스팅되고 있는 피싱 키트 #5를 채택한 것입니다. Silent Push는 현재의 버전이 사용자들을 릭 애슬리의 “Never Gonna Give You Up”으로 리디렉션하는 이전 버전들과 달리 더욱 은밀하게 작동하고 감지하기 어렵다고 설명합니다.

다른 불안스러운 변화로, 그룹은 klv1.it[.]com와 같이 공개적으로 대여 가능한 서브 도메인을 활용하기 시작했습니다. 이러한 서브 도메인은 합법적인 서비스를 흉내내며, 대부분 동적 DNS 제공자에 연결되어 있습니다. 이들은 기존 도메인 등록의 부재로 추적하기 어렵습니다.

Silent Push는 이러한 도메인을 네트워크 수준에서 차단하는 것을 고려해야 한다고 조직에 경고합니다. 이렇게 함으로써 위험 노출을 줄일 수 있습니다.

게다가, Scattered Spider는 트위터/X가 소유하던 도메인인 twitter-okta[.]com의 재획득과 관련이 있다고 밝혀졌습니다. 이 도메인이 앞으로의 캠페인에서 사용될지는 아직 불확실하지만, 이는 그룹이 눈에 띄지 않거나 버려진 디지털 자산을 이용하는 끈질긴 행동을 보여줍니다, 라고 Silent Push는 말합니다.

Scattered Spider 그룹은 기반 인프라와 악성 코드를 적응시키고 새로운 공격 경로를 찾는 능력 때문에 2024년에도 위험한 위협으로 지속적으로 발전하고 있습니다. 그룹의 지속적인 발전은 그들이 작업을 완료하지 않았음을 보여줍니다.

조직들은 이 지속적인 사이버 범죄 조직으로부터의 공격을 예방하기 위해 업데이트된 보안 조치를 유지하면서, 특이한 행동을 추적하는 동안에도 경계를 늦추지 않아야 합니다.