사이버 범죄 게이트웨이 서비스 저지

Storm-1152는 고도로 전문화된 서비스형 사이버 범죄 에코시스템에서 중요한 역할을 합니다. 사이버 범죄자에게는 자동화된 대규모 범죄 활동에 사용할 사기성 계정이 필요합니다. 기업에서 사기성 계정을 신속하게 식별하고 폐쇄할 수 있기 때문에 범죄자는 완화 노력을 우회할 수 있도록 더욱 많은 양의 계정을 필요로 합니다. 사이버 범죄자는 수천 개의 사기성 계정을 생성하는 데 시간을 쓰는 대신 Storm-1152와 같은 조직으로부터 간단하게 사기성 계정을 구매할 수 있습니다. 이를 통해 범죄자는 궁극적인 목표인 피싱, 스팸, 랜섬웨어 등의 사기 및 남용 공격에 집중할 수 있습니다. Storm-1152 및 이와 유사한 조직은 수많은 사이버 범죄자가 악의적인 활동을 보다 효율적이고 효과적으로 수행할 수 있도록 해 줍니다.

Microsoft 위협 인텔리전스는 Storm-1152 계정을 사용한 랜섬웨어, 데이터 도난 및 갈취에 연루된 여러 단체를 파악했습니다. 예를 들어 Scattered Spider라고도 하는 Octo Tempest는 Storm-1152로부터 사기성 Microsoft 계정을 확보했습니다. Octo Tempest는 금전 탈취를 목적으로 광범위한 소셜 엔지니어링 작전을 활용해 전 세계 여러 조직을 해킹하는 사이버 범죄 조직입니다. Microsoft는 Storm-0252 및 Storm-0455를 포함하여 공격을 강화하기 위해 Storm-1152에서 사기성 계정을 구매한 여러 다른 랜섬웨어 또는 탈취 위협 행위자를 계속해서 추적하고 있습니다.

12월 7일 목요일, Microsoft는 Storm-1152가 Microsoft 고객에게 피해를 주는 데 사용하는 오프라인 웹 사이트와 미국 기반 인프라를 압수하라는 뉴욕 남부지방법원의 명령을 받아 냈습니다. Microsoft의 사례는 사기성 Microsoft 계정에 초점을 맞추고 있지만 영향을 받은 웹 사이트들은 잘 알려진 다른 기술 플랫폼의 보안 조치를 우회하는 서비스도 판매했습니다. 따라서 이번 조치가 미치는 영향력은 더 광범위하며 Microsoft 외 타 플랫폼 사용자에게도 이로운 결과를 가져다줍니다. 특히 Microsoft의 디지털 범죄 전담반은 다음을 폐쇄시켰습니다.

Microsoft는 지구상의 모든 사람과 조직에 안전한 디지털 환경을 제공하기 위해 최선을 다하고 있습니다. Microsoft는 Arkose Labs와 긴밀히 협력하여 차세대 CAPTCHA 방어 솔루션을 배포합니다. 이 솔루션은 Microsoft 계정을 개설하려는 모든 예비 사용자가 본인이 봇이 아닌 인간임을 나타내고 다양한 유형의 챌린지를 해결함으로써 그 정확성을 검증하도록 합니다.

Arkose Labs의 창립자이자 CEO인 Kevin Gosschalk는 다음과 같이 말합니다. “Storm-1152는 악의적 사용자가 복잡한 공격을 가할 수 있도록 지원하여 수익을 얻겠다는 단 하나의 목적을 가지고 설립된 강력한 적입니다. 이 조직은 다크 웹과 같은 음지가 아닌 양지에서 CaaS 비즈니스를 구축했다는 점에서 다른 해킹 단체와 구별되는 특징을 가집니다. Storm-1152는 전형적인 인터넷 성업 기업의 형태로 운영되어 자사 도구에 대한 교육을 제공하고 적극적인 고객 지원까지 제공했습니다. 실상 Storm-1152는 중대 사기로 향하는 열린 관문이었죠.”

Storm-1152의 활동은 사기성 계정을 판매하여 Microsoft의 서비스 약관을 위반할 뿐만 아니라 보안 조치를 우회하기 위해 합법적인 사용자인 것처럼 가장하여 의도적으로 Arkose Labs 고객에게 피해를 입히고 피해자를 속이는 것을 목표로 합니다.

Storm-1152의 활동에 대한 분석에는 미국에서 호스트되는 악성 인프라를 정확히 찾아내기 위한 탐지, 분석, 원격 분석, 위장 테스트 구매, 리버스 엔지니어링 등이 포함되었습니다. Microsoft 위협 인텔리전스와 ACTIR (Arkose 사이버 위협 인텔리전스 연구) 팀은 법적 소송을 뒷받침하기 위한 추가 데이터와 인사이트를 제공했습니다.

Microsoft는 조사의 일환으로 Storm-1152 작전을 주도하는 베트남 거주 위협 행위자들의 신원(Duong Dinh Tu, Linh Van Nguyễn 또는 Nguyễn Van Linh, Tai Van Nguyen)을 확인할 수 있었습니다. 조사 결과에 따르면 이들 개인은 불법 웹 사이트의 코드를 조작 및 작성했고, 비디오 튜토리얼을 통해 제품 사용 방법에 대한 자세한 단계별 지침을 게시했으며, 해당 사기성 서비스를 사용하는 사람들을 지원하기 위해 채팅 서비스를 제공했습니다.

이후 Microsoft는 미국 법 집행 기관에 범죄 수사를 의뢰했습니다. Microsoft 고객에게 해를 끼치려는 이들을 정의의 심판대에 세울 수 있는 법 집행 기관과의 파트너십에 감사드립니다.
 

이번 조치는 더 광범위한 사이버 범죄자 에코시스템을 목표로 하고 사이버 범죄자가 공격을 실시하는 데 사용하는 도구를 표적으로 삼는 Microsoft 전략의 연속입니다. 이는 맬웨어와 국가 단위 작전을 저지하는 데 성공적으로 사용되는 법적 조치의 확장을 기반으로 합니다. 또한 Microsoft는 업계의 여러 타 조직과 협력하여 사기 행위에 대한 정보 공유를 늘리고 사기성 계정을 신속하게 탐지 및 식별하는 인공 지능 및 기계 학습 알고리즘을 더욱 강화했습니다.

이전에 말했듯 범죄 저지는 하루 만에 완료되지 않습니다. 사이버 범죄를 추적하려면 새로운 악성 인프라를 저지하기 위한 끈기와 지속적인 경계가 필요합니다. 이번 법적 조치는 Storm-1152의 운영에 영향을 미치긴 하지만, 결과적으로 다른 위협 행위자들도 이들과 유사한 기법을 사용할 것으로 예상됩니다. 오늘날 Arkose Labs 및 미국 법 집행 기관과의 지속적인 공공 및 민간 부문 협력은 사이버 범죄의 영향력을 의미 있는 수준으로 억제하기 위해 필수적입니다.