주요 콘텐츠로 건너뛰기

리소스

인텔리전스 다이제스트

악명 높은 칵봇 위협 캠페인의 귀환

해체된 칵봇 트로이목마의 이전 전술은 이제 광범위한 피싱 캠페인의 원동력이 되고 있습니다.

2023년 12월 13일

로드먼 라메자니안 - 글로벌 클라우드 위협 책임자

칵봇 사이버 위협(큐봇 또는 핑크슬립봇이라고도 함)을 기억하시나요? 이 위협은 2023년 8월에 법 집행 기관의 공동 노력의 일환으로 차단되었지만 다시 등장하고 있습니다!

악의적인 공격자들은 다양한 업계를 대상으로 하는 새로운 피싱 캠페인에서 오래된 수법을 사용하고 있습니다. 이들은 진행 중인 대화처럼 보이면서 위험한 링크가 포함된 사기성 이메일을 보내고 있습니다. 이러한 링크를 클릭하면 다크게이트나 피카봇과 같은 멀웨어를 시스템에 설치할 수 있는 파일로 연결됩니다. (그림 1)

이러한 악성 프로그램은 일단 감염되면 심각한 해를 끼칠 수 있습니다. 이들은 종종 몸값으로 데이터를 인질로 잡거나 기기의 컴퓨팅 리소스를 사용하여 암호화폐를 채굴하는 교활한 크립토마이닝 멀웨어를 이용합니다. 공격자는 정보를 훔치거나 다른 유해한 행위를 할 의도로 시스템을 제어합니다. 위협 행위자가 설정한 연결은 양방향으로 이루어지며, 공격자는 실시간으로 명령을 보내고 응답을 받을 수 있어 피해자의 시스템을 탐색하고 데이터를 훔치거나 기타 유해한 작업을 수행할 수 있습니다.

칵봇을 기반으로 하는 정교한 신종 멀웨어 변종인 피카봇은 특히 분석이 까다롭고 공격자에게 더 많은 제어 권한을 부여합니다.

2017년에 처음 발견된 다크게이트도 다시 등장했습니다. 2023년에 해커 커뮤니티에서 더 널리 사용되기 시작하면서 사용과 배포가 급격히 증가했습니다. 이 멀웨어 변종은 Microsoft Teams 메시지를 악용하여 다크게이트 멀웨어를 설치하는 유해한 첨부 파일을 유포합니다. 연구원들은 손상된 두 개의 외부 Microsoft 365 계정에서 비롯된 피싱 메시지를 Microsoft Teams 내에서 발견했습니다. 이 계정은 다른 조직의 Microsoft Teams 사용자에게 "휴가 일정 변경"이라는 이름의 ZIP 파일을 다운로드하도록 유도하는 데 사용되었습니다. 이 첨부 파일을 클릭하면 SharePoint URL에서 다운로드 프로세스가 시작되어 LNK 파일이 PDF 문서로 숨겨져 있었습니다.

이러한 사고가 발생하는 이유는 무엇인가요?

다크게이트와 피카봇은 특정 산업을 표적으로 삼지 않는 다목적 멀웨어 변종으로 다양한 분야에 걸쳐 위협을 가합니다. 다크게이트와 피카봇은 무차별적으로 시스템에 침투하여 취약점을 찾아 익스플로잇하는 것을 목표로 합니다. 공격자들은 모듈식 특성으로 인해 데이터 도난, 원격 액세스, 암호화폐 채굴 및 기타 다양한 산업에 걸쳐 악의적인 활동을 수행할 수 있습니다. 해커들은 이러한 적응성 덕분에 다양한 사이버 공격에 사용할 수 있으며, 금융, 의료, 교육, 정부, 제조 등의 산업에 잠재적으로 영향을 미칠 수 있습니다. 따라서 모든 분야에서는 이러한 진화하는 위협으로부터 보호할 수 있는 강력한 사이버 보안 조치가 필요합니다.

피싱은 다크게이트 및 피카봇 멀웨어 운영자들이 매우 성공적으로 사용하는 초기 액세스 브로커입니다. 피해자가 이메일의 피싱 링크를 클릭하는 경우, 이는 위협 행위자가 액세스 권한을 얻기 위한 중추적인 게이트웨이 역할을 합니다. 이러한 기법은 여러 가지 이유로 공격자들에게 계속 효과적입니다:

  1. 기만적인 기술: 이러한 멀웨어 변종은 종종 합법적으로 보이거나 진행 중인 대화를 모방한 이메일을 전송하여 사용자가 콘텐츠를 신뢰하도록 속이는 등 정교한 피싱 전술을 사용합니다.
  2. 인간의 취약점을 악용합니다: 피싱은 호기심이나 긴급함과 같은 인간의 감정에 의존하여 행동을 유도합니다. 피싱 이메일은 긴급하거나 중요한 메시지로 위장하여 수신자가 링크를 클릭하거나 첨부파일을 다운로드하도록 유도합니다.
  3. 소셜 엔지니어링: 이 기법은 익숙한 플랫폼이나 개인에 대한 사용자의 신뢰를 조작하여 악의적인 의도를 인식하기 어렵게 만듭니다.
    다양한 공격 벡터: 이러한 멀웨어 변종은 이메일 첨부 파일이나 링크와 같은 다양한 진입 지점을 활용하여 시스템이나 소프트웨어의 취약점을 악용합니다. 이러한 다각적인 접근 방식은 성공 확률을 높입니다.
  4. 적응성: 칵봇, 다크게이트, 피카봇은 지속적으로 진화하여 보안 조치를 우회하는 피싱 전략을 적용하고 있어 탐지 및 방어가 더욱 어려워집니다.
  5. 자동화된 배포: 이러한 위협은 자동화된 시스템을 활용하여 피싱 이메일을 대규모로 발송함으로써 빠르게 확산될 수 있으며, 사용자가 이러한 수법에 희생될 확률이 높아집니다.

무엇을 할 수 있나요?

위협 행위자는 대부분 첫 번째 클릭에 의존하여 피싱 공격의 문을 열기 때문에 사용자 인식과 교육은 이와 같은 피싱 공격을 막는 데 매우 효과적일 수 있습니다.

그러나 현실은 인간의 취약성과 위협 행위자의 기만적인 전술이 결합되어 해당 URL 링크를 클릭하게 되는 경향이 있습니다. 피싱 수법은 지속적으로 진화하고 더욱 정교해지고 있습니다. 공격자들은 소셜 엔지니어링과 같은 다양한 전술을 사용하여 합법적인 이메일의 그럴듯한 복제본을 만들어 내기 때문에 기존의 보안 조치로는 구별하기 어렵습니다.

이러한 이유로 remote browser isolation (RBI)는 로컬 디바이스에서 멀리 떨어진 곳에서 브라우징 세션을 실행하여 잠재적인 위협을 통제된 환경 내에서 격리하므로 URL 클릭을 수반하는 피싱 공격에 효과적입니다. 효과적인 이유는 다음과 같습니다:

  1. 실행을 격리합니다: 사용자가 URL을 클릭하면 브라우징 세션이 원격 환경에서 이루어집니다. 이렇게 하면 브라우징 활동이 로컬 시스템에서 분리되므로 잠재적인 멀웨어나 위협이 사용자의 디바이스에 직접 도달하는 것을 방지할 수 있습니다.
  2. 노출 제한: URL이 악성 사이트로 연결되더라도 브라우징 세션을 격리하여 발생하는 멀웨어나 유해한 콘텐츠는 원격 환경 내에서 격리된 상태로 유지됩니다. 사용자의 디바이스나 네트워크에 직접 액세스하지 않습니다.
  3. 디바이스 감염을 방지합니다: 브라우징은 격리된 환경에서 이루어지므로 브라우징 세션 중에 발생하는 멀웨어가 사용자의 디바이스를 감염시키거나 민감한 데이터를 손상시킬 기회가 없습니다.
  4. 공격 표면 감소: Remote browser isolation 잠재적으로 위험한 웹 콘텐츠가 사용자의 디바이스에 로드되지 않도록 하여 피싱 URL과 관련된 위험을 완화함으로써 공격 표면을 최소화합니다.
  5. 보안 태세를 강화합니다: 잠재적으로 위험한 웹 콘텐츠와 사용자의 상호 작용을 로컬 디바이스 및 네트워크에서 분리하여 피싱 공격의 성공 가능성을 줄임으로써 보안 계층을 추가합니다.

Skyhigh Security Service Edge (SSE) 포트폴리오에는 기본적으로 위험 웹 RBI가 포함되어 있습니다. 이 기능은 브라우징 요청을 RBI 서비스로 리디렉션하여 위험한 웹사이트로부터 사용자를 보호합니다. RBI 기술은 Skyhigh Security 플랫폼과 통합되어 랜섬웨어 및 피싱 위협에 대한 강력한 보호 기능을 제공하는 동시에 제로 트러스트 아키텍처 도입을 간소화합니다.

또한 별도로 제공되는 전체 RBI 기능을 사용하면 특정 트래픽을 RBI 세션으로 지정하여 더욱 강력한 보안 조치를 보장할 수 있습니다. Skyhigh Security클라우드 프록시를 통해 웹 트래픽을 라우팅하여 잠재적으로 위험한 브라우징을 격리하는 것이 RBI에 대한 접근 방식입니다. 이를 통해 data loss prevention (DLP) 및 멀웨어 방지 정책을 통해 포괄적인 보호를 보장합니다. 사용자가 피싱 URL을 클릭하면 일반적으로 공격자의 파일을 다운로드하기 위해 페이로드가 호스팅되는 페이지로 피해자를 리디렉션합니다. 그렇기 때문에 초기 디바이스 감염을 방지하기 위해 충분한 위협 분석이 필요합니다.

Skyhigh Security의 게이트웨이 안티 멀웨어(GAM) 엔진은 사전 의도 분석을 사용하여 시그니처에 의존하지 않고 실시간으로 악성 웹 콘텐츠를 필터링합니다. 동작 시뮬레이션, 행동 이해, 코드 의도 예측을 통해 실행 가능한 악성 콘텐츠와 실행 불가능한 악성 콘텐츠를 모두 탐지하여 제로데이 및 표적 공격에 효과적으로 대응합니다. 또한 클라이언트 웹 액세스 동작을 모니터링하여 잠재적으로 원치 않는 프로그램(PUP)을 식별하고 손상된 워크스테이션을 격리합니다.

GAM은 마이크로소프트 윈도우 실행 파일, 자바스크립트, 플래시 액션스크립트, 자바, 액티브X 컨트롤 등 다양한 형식의 코드 동작을 탐지하는 데 능숙합니다. 예를 들어, Word 문서 내의 난독화된 Visual Basic 스크립트에서 악의적인 의도를 식별하여 해당 문서가 다운로드되지 않도록 차단할 수 있습니다.

기존의 시그니처 기반 및 휴리스틱 안티멀웨어 엔진이 포함되어 있지만 알려지지 않은 멀웨어에 대한 핵심 탐지 기능은 머신 러닝과 실시간 에뮬레이션을 활용하는 GAM에 의존합니다. 여기에는 세 가지 휴리스틱 기능이 포함됩니다:

  1. 새로운 코드 샘플에서 의심스러운 동작을 차단하는 정적 동작 휴리스틱.
  2. 수정된 멀웨어 변종을 알려진 멀웨어 제품군과 연결하는 구조적 휴리스틱.
  3. 네트워크 행동 휴리스틱은 의심스러운 인터넷 액세스 패턴을 보이는 감염 가능성이 있는 클라이언트 시스템을 식별합니다.

Skyhigh Security?

로드먼 라메자니안

저자 소개

로드먼 라메자니안

글로벌 클라우드 위협 리드

11년 이상의 광범위한 사이버 보안 업계 경력을 보유한 Rodman Ramezanian은 엔터프라이즈 클라우드 보안 고문으로 Skyhigh Security 에서 기술 자문, 지원, 솔루션 설계 및 아키텍처를 담당하고 있습니다. 이 역할에서 Rodman은 주로 호주 연방 정부, 국방 및 기업 조직에 중점을 두고 있습니다.

로드먼은 적대적 위협 인텔리전스, 사이버 범죄, 데이터 보호 및 클라우드 보안 분야를 전문으로 합니다. 그는 호주 신호 감독국(ASD)에서 승인한 IRAP 평가자이며 현재 CISSP, CCSP, CISA, CDPSE, Microsoft Azure 및 MITRE ATT&CK CTI 자격증을 보유하고 있습니다.

로드먼은 복잡한 문제를 간단한 용어로 표현하여 일반인 및 신규 보안 전문가가 사이버 보안의 대상, 이유, 방법을 이해할 수 있도록 돕는 데 강한 열정을 가지고 있습니다.

공격 하이라이트

  • 위협 행위자는 응답으로 보이는 손상된 이메일 대화를 사용하여 피싱 이메일을 보내거나 도난당한 대화를 전달하여 수신자가 이를 신뢰하게 만든 다음 악성 URL을 클릭하도록 유인하는 방식으로 공격을 시작합니다.
  • 이렇게 탈취된 이메일 메시지는 Microsoft 프록시로그온 공격(CVE-2021-26855)을 통해 획득되었을 가능성이 높습니다. 공격자는 Microsoft Exchange Server의 이 취약점을 통해 인증을 회피하고 기본 계정의 관리자인 것처럼 위장할 수 있습니다.
  • 이 URL에는 여러 계층이 있어 설정된 기준(예: 위치 및 브라우저)을 충족하는 특정 사용자만 유해한 소프트웨어에 액세스하여 유효한 대상인지 확인할 수 있습니다.
  • URL을 클릭하면 자바스크립트 드로퍼로 알려진 자바스크립트 파일이 포함된 ZIP 파일을 다운로드하게 됩니다. 이 파일은 나중에 감염된 휴대용 실행 파일(PE)과 악성 DLL 파일을 다운로드하고 실행하는 데 사용됩니다.
  • JavaScript 드로퍼 프로그램은 다른 URL에 연결하여 멀웨어를 가져와 활성화하며, 일반적으로 Microsoft Office 문서에 있는 .vbs 파일을 통해 또는 명령줄 프로그램을 시작하여 멀웨어를 실행할 수 있는 비주얼 베이직 스크립트(VBS) 다운로더, Microsoft 바로 가기 파일(.lnk)을 오용하는 LNK 다운로더, 추가 악용 작업을 위해 XLL 파일을 만드는 데 사용되는 Excel DNA 로더의 도움을 받아 멀웨어를 가져와서 실행합니다. 일반적으로 합법적인 업무 목적으로 Microsoft Excel 추가 기능으로 사용되는 XLL 파일은 위협 공격자에 의해 조작됩니다. 공격자들은 특정 위치에 액세스하고 유해한 페이로드를 다운로드하도록 이러한 애드온을 조정했습니다.
  • 이 시점에서 피해자는 다크게이트 또는 피카봇 멀웨어 변종에 성공적으로 감염되어 고급 크립토마이닝 소프트웨어, 정찰 도구, 랜섬웨어 페이로드 등의 전달 및 설치와 같은 추가적인 해로운 작업을 수행할 수 있게 됩니다.