[디지털투데이 AI리포터] 해커 그룹인 스캐터드 스파이더가 사이버 공격을 본격화하고 있어 기업들의 경계가 필요하다.

30일(현지시간) IT매체 테크레이더에 따르면, 미국 사이버안보·인프라안보국(CISA), 미국 연방수사국(FBI) 그리고 캐나다·영국·호주의 보안 당국은 기업들에 주의를 당부했다. 이들은 스캐터드 스파이더가 직원 사칭을 통해 IT 헬프데스크를 속여 비밀번호를 재설정하거나 다중 인증(MFA) 토큰을 탈취하고 있다고 경고했다.

스캐터드 스파이더는 '옥토 템페스트'(Okto Tempest)라는 이름으로도 알려진 해커 그룹으로 대기업을 주요 표적으로 삼고 있다. 이들은 피싱, 신원 도용 공격에 능숙하다. 특히 초기 침투 단계에서 휴대전화 번호 탈취 사기인 SIM 스와핑이나 MFA 피로 공격(MFA fatigue attack)을 활용한다.

이들은 최근 악성코드 래티랫(Ratty RAT)과 랜섬웨어 드래건 포스(Dragon Force)를 추가 도입해 기업 시스템을 암호화하고 몸값을 요구하는 공격을 강화하고 있다. 

또한 민감한 데이터를 외부 서버로 탈취한 후 시스템을 암호화하는 이중 갈취 전략을 사용한다. 이 과정에서 아마존S3와 같은 클라우드 서비스를 활용해 데이터를 저장한다. 일부 공격에서는 스노우플레이크(Snowflake) 환경에서 수천 건의 쿼리를 실행해 대량의 데이터를 빠르게 탈취한 사례도 있었다.

CISA는 향후 몇 주에서 몇 달 안에 추가 공격이 발생할 가능성이 크다고 경고했다. 기업에 피싱 방지 MFA 도입, 원격 접근 도구 감사 및 제한, 의심스러운 로그인 및 계정 활동 모니터링, 오프라인 암호화 백업 유지, 네트워크 분할, 알려진 취약점 패치 등 보안 강화를 촉구했다.