최신 보안 동향

독일 기관을 표적으로 하는 새로운 피싱 캠페인 발견

TACHYON & ISARC 2024. 7. 30. 10:03

최근 독일 법인을 사칭한 웹사이트를 통해 가짜 CrowdStrike Crash Reporter 설치 프로그램을 배포했다고 밝혔다.

 

보안 업체 CrowdStrike는 사용자가 다운로드 버튼을 클릭하면 악성 InnoSetup 설치 프로그램이 포함된 ZIP 아카이브 파일을 다운로드한다고 말했다. 설치를 시작하면 백엔드 서버를 입력하라는 메세지가 보이고 특정 입력을 하지 못하면 오류 메세지가 표시되어 설치가 완료되지 않는다. 이로 인해 설치 프로그램 콘텐츠를 암호화하고, 암호 없이 추가 활동이 발생하지 않도록 해 추가 분석이 불가능하도록 만들었다고 덧붙였다. 또한, 독일어 프롬프트가 사용된 것으로 보아 독일어를 사용하는 CrowdStrike 고객만을 타겟으로 삼고 있음을 추측할 수 있다고 전했다. 최종적으로 프로그램이 설치되면 다양한 웹 브라우저에서 시스템 정보, 외부 IP 주소 및 데이터를 수집해 공격자의 SMTP 계정으로 유출시킨다.

 

CrowdStrike는 해당 캠페인이 설치 프로그램이 암호로 보호되어 있고, 대상 엔터티에게만 알려진 입력이 필요하다는 사실 때문에 매우 타겟팅 된 공격으로 확인된다고 언급했다.

 

[피싱 페이지]

 

사진 출처 : CrowdStrike

출처

[1] CrowdStrike (2024.07.25) – Malicious Inauthentic Falcon Crash Reporter Installer Distributed to German Entity via Spearphishing Website

https://www.crowdstrike.com/blog/malicious-inauthentic-falcon-crash-reporter-installer-spearphishing/