AccountDumpling 피싱 캠페인

베트남과 연계된 사이버 범죄 조직 '어카운트덤플링(AccountDumpling)'이 구글 앱시트를 피싱 중계 수단으로 악용하는 대규모 사이버 공격을 벌이고 있는 것으로 확인되었습니다. 이 공격은 주로 페이스북 계정, 특히 기업 고객의 계정을 탈취하는 것을 목표로 하는 악성 이메일을 유포하고 있습니다.

기존의 피싱 공격과는 달리, 이는 고정된 도구 모음이 아니라 역동적이고 지속적으로 진화하는 생태계입니다. 실시간 운영자 대시보드, 고도의 회피 기술, 그리고 체계적인 수익 창출 시스템을 통합하고 있습니다. 탈취된 계정은 공격자들이 장악한 암시장으로 다시 유입되어 자생적인 범죄 고리를 형성합니다. 이 공격으로 약 3만 개의 페이스북 계정이 해킹당했습니다.

신뢰를 무기화하기: 이메일 전송을 위해 Google AppSheet를 악용하는 방법

이 공격은 메타 지원팀을 사칭한 정교하게 제작된 피싱 이메일에서 시작됩니다. 이러한 메시지는 페이스북 비즈니스 계정 사용자를 대상으로 하며, 즉각적인 조치를 취하지 않으면 계정이 곧 삭제될 것이라고 경고합니다. 피해자들은 이메일에 포함된 링크를 통해 이의 신청을 제출하도록 유도됩니다.

이 캠페인의 효과를 높이는 핵심 요소는 합법적인 인프라를 활용했다는 점입니다. 이메일은 Google AppSheet 주소('noreply@appsheet.com')에서 발송되므로 기존의 스팸 및 보안 필터를 우회할 수 있습니다. 이러한 전략은 신뢰도를 높이고 사용자 참여 가능성을 증가시킵니다.

이러한 메시지에 담긴 긴급성은 수신자를 민감한 개인 정보를 탈취하도록 설계된 사기 웹사이트로 유도합니다. 유사한 공격 패턴이 이전 캠페인에서도 관찰되었는데, 이는 성공적인 기법을 지속적으로 정교화하고 재사용하고 있음을 나타냅니다.

심리적 조작: '메타 패닉' 조성

공격자들은 공황 상태를 유발하고 사용자의 신속한 반응을 유도하기 위해 다양한 사회공학적 수법을 사용합니다. 이러한 수법은 합법적인 Meta 커뮤니케이션을 모방하고 공포심을 조장하는 시나리오를 악용하도록 전략적으로 설계되었습니다.

주요 미끼 종류는 다음과 같습니다.

계정 관련 위협 : 계정 정지, 저작권 침해 또는 긴급 인증 요구 등의 주장
보안 알림 : 의심스러운 로그인 또는 필수 보안 검사에 대한 알림
업무 및 지위 관련 인센티브 : 장애인 주차증 인증 혜택 또는 임원 채용 기회
기업 사칭 : 유명 브랜드의 가짜 채용 공고를 통해 신뢰를 구축하고 참여를 유도하는 수법

각각의 유인책은 사용자의 행동을 조작하여 자격 증명 유출 가능성을 높이도록 설계되었습니다.

다채널 피싱 인프라: 다양한 전달 메커니즘

이 캠페인은 여러 호스팅 플랫폼과 전달 방식을 사용하는 것이 특징이며, 각 플랫폼과 방식은 데이터 수집 및 유출에서 특정 역할을 수행합니다. 주요 공격 유형은 다음과 같습니다.

• Netlify에서 호스팅되는 피싱 페이지: 로그인 자격 증명, 개인 데이터 및 정부 발행 신분증을 탈취하기 위해 설계된 가짜 Facebook 고객센터 포털입니다. 수집된 데이터는 공격자가 관리하는 Telegram 채널로 전송됩니다.
• Vercel에서 호스팅하는 '보안 검사' 페이지: 이 페이지들은 Meta의 개인 정보 보호 또는 보안 포털을 모방하며 가짜 CAPTCHA 인증을 포함합니다. 피해자는 자격 증명을 다시 입력하고 2단계 인증(2FA) 코드를 제공하라는 메시지를 받게 되며, 이 모든 정보는 실시간으로 유출됩니다.
• Google Drive에 호스팅된 PDF 미끼: 공식 인증 지침으로 위장한 이러한 문서는 내장된 스크립트를 사용하여 사용자를 피싱 페이지로 리디렉션하여 비밀번호, 2단계 인증 코드, 신분증 사진, 심지어 브라우저 스크린샷까지 수집합니다.
• 가짜 채용 수법: 주요 기업을 사칭하여 신뢰도를 구축한 후, 악성 플랫폼으로 연결하여 추가적인 상호 작용 및 데이터 수집을 유도합니다.

이러한 집단 공격과 관련된 텔레그램 채널에는 총 약 3만 건의 피해자 기록이 포함되어 있습니다. 피해자들은 주로 북미, 유럽, 아시아 및 호주에 거주하며, 많은 사람들이 계정에 접속할 수 없게 되었습니다.

캠페인 배후 인물 추적을 통한 성과 분석

무료 Canva 계정을 통해 생성된 피싱 PDF 파일에 포함된 메타데이터에서 결정적인 증거가 발견되었습니다. 해당 파일에는 'PHẠM TÀI TÂN'이 작성자로 표시되어 있어, 이 작전의 잠재적 책임자를 직접적으로 파악할 수 있습니다.

추가적인 공개 정보 분석 결과, 'phamtaitan.vn'이라는 관련 웹사이트가 발견되었으며, 이 웹사이트는 디지털 마케팅 서비스를 홍보하고 있습니다. 이 업체와 관련된 공개 성명들을 살펴보면 마케팅 리소스 및 전략 컨설팅에 중점을 두고 있는 것으로 나타나, 합법적 목적과 악의적 목적 모두에 활용될 수 있는 이중적인 역량을 보유하고 있음을 시사합니다.

지하 경제: 유출된 디지털 신원을 이용한 수익 창출

이 캠페인은 사이버 범죄의 더 광범위한 추세, 즉 디지털 신원의 상품화를 보여줍니다. 해킹당한 페이스북 계정은 단순한 최종 결과물이 아니라 번성하는 암시장에서 귀중한 자산이 됩니다.

공격자들은 기업 제휴, 광고 이력, 복구 가능성 등의 요소를 기반으로 계정 접근 권한을 거래합니다. 이번 공격은 구글 앱시트, 넷리파이, 버셀 등 신뢰받는 플랫폼들이 콘텐츠 배포, 호스팅, 수익 창출을 위한 인프라 계층으로 탈바꿈하고 있음을 보여줍니다.

어카운트덤플링 캠페인은 현대의 위협 행위자들이 소셜 엔지니어링, 클라우드 서비스, 그리고 암시장 경제를 어떻게 통합하여 응집력 있고 확장 가능한 사이버 범죄 조직을 구축하는지 명확하게 보여주는 사례입니다.