CrowdStrike Scam
유명한 사이버 보안 회사인 CrowdStrike는 2024년 7월 19일에 잘못된 Windows 업데이트로 인해 광범위한 시스템 중단을 촉발했습니다. 이 기술적 사고는 운영을 중단시켰을 뿐만 아니라 사이버 범죄자가 취약한 시스템을 악용하여 위협적인 활동을 할 수 있는 기회의 창을 열었습니다.
목차
가짜 업데이트를 통한 악성코드 배포
사이버 범죄자들이 사용하는 주요 방법 중 하나는 합법적인 CrowdStrike 업데이트로 위장한 악성 코드를 배포하는 것이었습니다. 이러한 사기성 업데이트에는 다음이 포함됩니다.
- BBVA 은행 고객을 표적으로 삼은 Remcos RAT : BBVA 은행 고객을 표적으로 삼은 캠페인에서는 가짜 CrowdStrike 핫픽스 업데이트를 활용했습니다. 필수 소프트웨어 유지 관리로 위장한 이 업데이트는 대신 Remcos RAT(Remote Access Trojan)를 설치했습니다. 이 악성 코드는 감염된 컴퓨터에 대한 무단 원격 액세스를 가능하게 하여 스파이 활동, 데이터 도난을 촉진하고 민감한 시스템을 더욱 손상시킵니다.
- 피싱 이메일을 통한 데이터 와이퍼 : 또 다른 경우에는 사이버 범죄자들이 CrowdStrike 업데이트로 위장한 이메일을 배포했습니다. 이 이메일은 수신자에게 필요한 보안 패치가 포함된 것으로 알려진 ZIP 파일을 다운로드하도록 지시했습니다. 그러나 해당 파일에는 실제로 데이터 와이퍼 악성 코드가 포함되어 있었습니다. 데이터 와이퍼는 영향을 받은 시스템의 데이터를 되돌릴 수 없게 삭제하거나 손상시켜 피해자에게 심각한 운영 및 데이터 손실을 초래하도록 설계되었습니다.
사건을 악용하는 계획
CrowdStrike의 업데이트 오류로 인한 혼란을 이용하여 사기꾼들은 다양한 사기 계획을 세웠습니다.
- 가짜 암호화폐 토큰: 사기꾼은 $CROWDSTRIKE 또는 $CROWDSTROKE와 같은 가상 토큰을 홍보하여 의심하지 않는 개인이 개인 정보를 누설하거나 가장하여 암호화폐를 전송하도록 유도합니다.
- 보상 제안: 사기꾼은 합법적인 단체를 사칭하여 피해를 입은 사용자에게 보상을 제공합니다. 이러한 제안은 피해자를 속여 민감한 정보를 공개하거나 존재하지 않는 서비스에 대한 비용을 지불하거나 컴퓨터에 대한 원격 액세스를 허용하도록 하는 것을 목표로 합니다. 이러한 행위는 추가적인 맬웨어 감염, 재정적 손실, 데이터 유출로 이어질 수 있습니다.
유통채널 및 기법
사기꾼은 자신의 계획을 전파하기 위해 다양한 채널과 기만적인 기술을 활용했습니다.
- 피싱 이메일 : 가짜 CrowdStrike 업데이트 이메일은 합법적인 소프트웨어 업데이트에 대한 신뢰를 악용하여 수신자를 속여 악성 코드를 다운로드하도록 하는 방식으로 널리 배포되었습니다.
- 가짜 웹 사이트 및 사회 공학 : 사기꾼은 합법적인 서비스나 인트라넷 포털(예: BBVA 인트라넷)과 유사한 위조 웹 사이트를 만들어 사용자를 속여 악성 소프트웨어를 설치하도록 합니다.
- 손상된 소셜 미디어 계정 : X(이전의 Twitter)와 같은 플랫폼의 손상된 계정을 통해 사기성 업데이트도 유포되어 광범위한 청중을 활용하여 악성 링크와 콘텐츠를 퍼뜨렸습니다.
CrowdStrike의 잘못된 업데이트와 관련된 사건은 강력한 사이버 보안 조치와 사용자 경계의 중요성을 강조했습니다. 사이버 범죄자들은 업데이트 오류로 인한 중단을 신속하게 이용하여 정교한 악성 코드를 배포하고 사기 계획을 조율했습니다. 사용자와 조직 모두 피싱 시도, 의심스러운 이메일, 사기성 온라인 전술을 경계하여 이러한 위험한 활동의 피해자가 될 위험을 줄여야 합니다. Microsoft의 정품 픽스 출시와 같은 합법적인 기관의 노력은 이러한 사고로 인한 피해를 완화하고 디지털 보안 조치에 대한 신뢰를 회복하는 데 중추적인 역할을 합니다.
