멕시코에서만 4년 활동하는 그리디스폰지, “당해주니까”

알라코어랫(AllaKore RAT)과 시스템비씨(SystemBC)라는 최신 변종을 활용한 악성 캠페인이 장기간 진행되고 있다. 보안 업체 아크틱울프(ArcticWolf)에 의하면 현재 공격자들이 집중적으로 노리는 건 멕시코의 기업들이지만, 다른 지역의 기업들도 이들을 통해 배워야 할 것이 있다고 한다. 아크틱울프는 이번 캠페인의 배후에 있는 공격자를 그리디스폰지(Greedy Sponge)라 명명해 추적하고 있다.

“그리디스폰지는 2021년부터 활동을 시작한 것으로 추정됩니다. 소매, 농업, 공공, 엔터테인먼트, 제조, 운송, 금융 등 다양한 분야의 기업과 단체들을 무차별적으로 공격해 왔습니다. 주로 집(zip) 아카이브에 악성 파일을 포함시켜 유포하는 방식으로 피해자들을 감염시키는데, 1차적으로는 알라코어랫을 심고, 그 알라코어랫을 통해 시스템비씨를 심는 식입니다.” 아크틱울프의 설명이다.

사용된 멀웨어

알라코어랫은 그리디스폰지가 원래부터 사용해오던 것인데, 최근 기능이 업그레이드 됐다. “2차 감염 페이로드를 피해자 시스템에 심는 게 주요 역할이었습니다. 지금도 마찬가지이긴 한데, 대신 피해자 시스템에서부터 온라인뱅킹 크리덴셜과 고유 인증 정보를 취득해 공격자의 C&C 서버로 전송하는 기능이 생겼습니다.” 이는 공격자들이 더 노골적으로 금전적 이득을 취하겠다는 의지로 해석된다.

시스템비씨는 피해자 시스템을 2차로 감염시키는 멀웨어로, “감염된 윈도 호스트를 속스5(SOCKS5) 프록시로 전환하여 공격자가 C&C 서버를 통해 통신할 수 있도록 하는 악성 코드”다. 강력한 프록시 도구인 셈인데, 워낙 잘 알려져 있어서 각종 보안 솔루션들의 탐지율이 올라가고 있다. “그래서 공격자들은 지오펜싱 기법을 추가하는 등 여러 가지 방법으로 시스템비씨 활용도를 높이고 있습니다.” 공격자들은 시스템비씨가 심긴 피해자 시스템으로부터 키로깅, 스크린샷 캡쳐, 파일 다운로드 및 업로드 등을 실행한다.

끈질긴 공격자

그리디스폰지가 멕시코 기업들을 적극 공략해온 것이 벌써 4년째라고 아크틱울프는 말한다. “매우 끈질긴 위협이라고 할 수 있습니다. 다만 공격의 기술력이 고도화 되어 있느냐고 묻는다면, 그렇지 않다고 봅니다. 저조한 기술력을 가지고 한 나라만 집중 공략하는 게 지금으로서는 그리디스폰지의 가장 큰 특성이라고 할 수 있습니다.”

고도화와는 먼 기술력을 가지고도 오랜 시간 공격을 유지할 수 있었던 것은, 이들이 성과를 내고 있다는 뜻이라고 아크틱울프는 해석한다. “멕시코 기업들에 잘 통하는 뭔가를 그들이 발견했다고도 할 수 있습니다. 그러니 4년 동안 변함없이 공격할 수 있었겠죠. 이들의 공격 수법은 거의 변하지 않고 있는데, 이 역시 멕시코 기업들이 고질적인 ‘보안 부실함’을 가지고 있다는 걸 드러냅니다. 스스로 개선하여 잘 막았다면 이런 조직들은 살아남을 수 없어야 합니다.”

그리디스폰지는 거의 항상 사회공학적 기법으로 최초 피해자에게 접근한다고 아크틱울프는 강조한다. “신규 고객으로 가장해 악성 집 파일을 전달하는 게 이들의 주요 수법입니다. 파일을 직접 보낼 때도 있고, 파일 다운로드가 발동되는 링크를 숨겨서 전달하기도 하는 등 약간의 변화는 줍니다만 큰 맥락에서는 같은 전략이 반복적으로 사용됩니다.”

세계 곳곳의 해킹 공격, 시작은 대부분 피싱

최근의 사이버 범죄는 재난 재해로 비유되지 않는다. 재난 재해는 사람의 힘으로 막을 수 없는 것이지만, 사이버 범죄는 그렇지 않기 때문이다. ‘해커 = 천재’라는 도식이 성립되던 시절에는 해킹 공격을 일반인이 막는다는 게 쉽지 않았지만, 지금은 불가항력적으로 강력한 기술력을 바탕으로 일어나는 사이버 범죄는 흔치 않다. 특히 민간 기업들을 대상으로 돈을 갈취하고자 하는 범죄는 더욱 그렇다.

피해자들은 실수나 해이로 악성 링크를 무심코 클릭하고, 출처 확인이 제대로 되지 않은 앱을 다운로드 받아 설치한다. 수상한 메일도 의심 없이 열어보고, 문자 메시지로 들어온 링크들도 별 다른 의심 없이 눌러 본다. 그래서인지 사이버 범죄자들 거의 대부분 최초 공격을, 그 오래된 피싱 및 사회공학적 기법을 통해 실시하고 있다. 오래된 기법을 그대로 쓰는 이유는, 개선시키지 않아도 되기 때문이다. 피해자들이 여전히 당해준다는 의미다.

그리디스폰지처럼 기술력에 있어서 뛰어나지 않은 공격자들이 활개 치고 있다는 건 그만큼 피해자들이 공략 가능한 상태로 남아 있다는 걸 증명한다. 조금만 조심하면 해킹 공격의 대부분은 피해갈 수 있다는 걸 모두가 알아두는 게 시급하다. ‘나도 막을 수 있다’는 걸 알면, 더 적극적으로 위험을 회피할 수 있게 된다.

Related Materials

• Credential Theft and Remote Access Surge as AllaKore RAT and SystemBC Target Mexico - The Hacker News , 2025년
• Greedy Sponge Targets Mexico with AllaKore RAT and SystemBC - Arctic Wolf Labs 분석 보고서 , 2025년
• Mexican Banks and Cryptocurrency Platforms Targeted with AllaKore RAT - BlackBerry Research & Intelligence Team , 2024년
• AllaKore RAT Malware Targets Mexican Companies Using Financial Fraud Techniques - Varutra ThreatPost , 2024년

5월 APT 공격, LNK 유포 64%

💡Editor Pick - 안랩 2025년 5월 APT 동향에서 LNK 유포가 높은 비중 차지 - CAB내에 Python 포함되는 경우도 확인 지난 5월 한 달간 스피어피싱(Spear Phishing)을 활용한 LNK를 유포한 APT 공격이 두드러졌다. 안랩이 12일 발표한 ’2025년 5월 APT 공격 동향 보고서(국내)’에 따르면 지난 한 달 동안 확인된

The Tech EdgeCheifEditor

[칼럼] 사이버 범죄 시작점, 피싱 해부

💡Editor Pick - 요즘 피싱, 도메인·UI·로고·운영 방식·사업자번호 까지 복제 - ‘정상 사이트처럼 보이는 것’이 피싱 성공률의 핵심이 된 셈 - 디지털 보안, 전문가들만의 문제 아냐...모두 일상 속에서 실천돼야 [칼럼 김지훈 누리랩 이사] 최근 몇 년 사이, 사이버 범죄의 양상은 더욱 정교해지고 조직화 되고 있다.

The Tech EdgeCheifEditor