이메일은 수십 년 동안 기업 커뮤니케이션과 협업의 생명선 역할을 해왔으며, 이는 의심할 여지가 없습니다. 하지만 이메일은 여전히 멀웨어나 랜섬웨어를 배포하는 가장 효과적인 방법 중 하나이며, 멀웨어 전달 및 감염의 90% 이상을 담당하고 있습니다. 이는 이메일 보호 도구가 시간이 지남에 따라 개선되고 발전했음에도 불구하고 마찬가지입니다.
오늘날 위협 행위자들은 호스팅 제공업체, 파일 전송 서비스, 협업 플랫폼, 일정 관리 프로그램 또는 이 둘을 조합한 무료 클라우드 도구를 활용하여 보안 조치를 우회하고 악성 페이로드를 전 세계에 유포합니다. 이번 사례에서는 Cofense의 연구원들이 처음 보고한 Lampion 멀웨어 캠페인에 초점을 맞춥니다.
그림 1. 램피온 악성 파일 내용. (출처: Cofense)
이 특정 피싱 캠페인이 다른 피싱 캠페인보다 더 위협적인 이유는 대부분의 경우 암묵적으로 신뢰하는 합법적인 서비스인 "WeTransfer"를 사용한다는 점입니다. 잘 모르는 분들을 위해 설명하자면, WeTransfer는 사용자가 콘텐츠를 업로드/다운로드할 수 있는 무료 온라인 파일 공유 서비스를 제공합니다.
램피온은 2019년에 처음 관찰된 위협 변종으로 알려져 있습니다. 초기에는 주로 스페인 인구를 표적으로 삼았지만, 이후 전 세계로 활동 범위를 넓혔습니다. 하지만 2022년에 연구원들은 일부 탐지에서 Bazaar 및 LockBit 랜섬웨어 캠페인 호스트 이름과 연관된 것으로 나타나는 등 유포가 증가하고 있음을 발견했습니다.
램프피온 멀웨어 캠페인의 배후에 있는 위협 행위자는 해킹된 비즈니스 계정을 사용하여 피싱 이메일을 보내 최종 사용자가 WeTransfer에서 호스팅되는 '결제 증명' 모의 파일을 다운로드하도록 유도합니다. 주요 목적은 시스템에서 은행 계좌 정보를 추출하는 것입니다. 페이로드는 은행 로그인 페이지에 자체 로그인 양식을 오버레이합니다. 사용자가 자격 증명을 입력하면 이러한 가짜 로그인 양식이 도용되어 공격자에게 다시 전송됩니다.
이러한 침해가 발생하는 이유는 무엇인가요?
이메일이 비즈니스 운영의 중요한 동맥 역할을 계속하고 있는 상황에서 위협 공격자들이 페이로드 전달을 위한 가장 성공적인 벡터 중 하나로 이메일을 주목하는 것은 당연한 일입니다.
물론 피싱은 그 자체로 하나의 전술, 기술, 절차로 존재합니다. 인간은 여전히 사이버 보안에서 가장 취약한 고리로 간주되며, 설득력 있는 미끼와 사회 공학적 미끼에 속아 넘어가곤 합니다. Verizon은 최근 2022 데이터 침해 조사 보고서에서 침해의 82%가 사람의 손에 의해 발생한다고 밝히며 이러한 추세를 뒷받침했습니다.
이러한 형태의 멀웨어는 신뢰할 수 있는 디바이스인 피해자의 시스템을 통해 악성 링크에 액세스하기 때문에 은행 보안팀에게 특히 까다로운 문제입니다. 또한 공격자들이 사용/악용하는 합법적인 서비스는 WeTransfer뿐만 아니라 Amazon Web Services(AWS) 리소스를 활용하여 페이로드를 호스팅하고 있습니다.
그림 2. DLL 페이로드를 호스팅하는 URL. (출처: Cofense)
또 다른 어려움은 보안 도구에서 수행하는 기존의 평판 검사가 항상 효과적인 것은 아니라는 사실에 있습니다. WeTransfer는 어느 정도 평판이 있고 정품 서비스이며 겉으로 보기에 일반적인 AWS 호스팅 주소라고 해서 모든 공급업체 평판 데이터베이스는 아니더라도 적어도 대부분의 평판 데이터베이스에서 경보를 울리지 않을 수 있습니다.
따라서 보다 혁신적인 다른 접근 방식을 고려해야 합니다.
무엇을 할 수 있나요?
이러한 유형의 위협은 페이로드를 도입하기 위해 외부 URL을 사용하는 데 의존하고 이를 통해 성공하기 때문에 remote browser isolation 은 피해 시스템이 공격자가 의도한 콘텐츠로 직접 이동하는 것을 방지하는 가장 효과적인 방법 중 하나임을 입증합니다.
이 방법을 사용하면 불행히도 피해자가 악성 링크(이 시나리오의 교묘한 WeTransfer 링크)를 클릭하는 경우 원격으로 격리된 브라우저 세션이 즉시 시작되어 향후 모든 콘텐츠로부터 시스템을 보호할 수 있습니다.
어떻게요?
그림 3: Skyhigh Security의 Remote Browser Isolation (RBI) 기능은 위험하고 악의적인 웹 페이지 요청을 격리하여 사용자를 보호합니다.
보안팀은 위험한 평판 카테고리(예: 파일 공유, P2P, 도박 등), URL 카테고리, IP 주소, 도메인 또는 사용자 지정 생성 목록에 따른 일치 항목을 기반으로 사용자가 유사한 공격의 대상이 되는 경우 해당 브라우저 세션의 악성 콘텐츠가 로컬 디바이스에 도달하지 않고 페이지를 나타내는 픽셀의 시각적 스트림만 도달하도록 보장할 수 있습니다.
사용자는 관리자의 재량에 따라 정상적으로 사이트와 상호 작용하거나 업로드, 다운로드, 클립보드 사용 등의 기능을 완전히 차단할 수 있습니다. 하지만 이렇게 하면 페이지를 표시하는 브라우저 세션이 원격으로 격리되어 악성 페이로드, 쿠키, 콘텐츠가 사용자와 디바이스로부터 차단됩니다.
이를 통해 보안팀은 더 이상 평판 조회나 이분법적인 허용/거부 정책에 휘둘려 양의 탈을 쓴 늑대를 발견하지 않아도 됩니다.