총 2,153건
-
조직 구성원 겨냥한 온라인 스캠, 어떤 것들이 있을까?
타겟형 스캠은 사회공학적 기법을 이용해 치밀하게 설계된 공격 시나리오로 진행된다. 이런 공격은 개인 대상 스미싱이나 투자 사기, 쇼핑몰 사칭 등의 공격과는 다르게, 사전에 수집한 공격 대상 정보를 바탕으로 맞춤형 피싱 시나리오를 구성한다. 이번 글에서는 기업 및 조직을 표적으로 삼는 대표적인 타겟형 스캠인 비즈니스 이메일 사기(Business Email Compromise, BEC)와 스피어 피싱에 대해 알아본다.
먼저, BEC는 이메일을 활용해 주로 기업이나 정부 기관 등의 조직 구성원을 표적으로 삼는데, 특히 고위 임원진이나 재무, 인사 담당자를 노린다. 공격자는 이들과 업무적으로 연관성이 있는 인물로 위장해 송금이나 기밀 정보 전송을 유도한다.
BEC 공격은 대개 치밀한 계획 하에 진행된다. 공격자는 링크드인(LinkedIn)이나 공개된 웹 사이트를 통해 타겟에 대한 사전 정보를 수집한다. 이메일 발송 시에는 발신 주소 도메인을 스푸핑(Spoofing)하거나 신뢰할 만한 기관을 사칭한다. 이후 공격 대상과 신뢰 관계를 쌓은 뒤, 심리적 압박을 가하는 사회공학 기법을 활용해 송금이나 정보 전송을 요구한다. 아래 사례와 같이, 공격자는 은행 고위 관리자를 사칭하고, 시급성을 강조하며 돈을 받기 위해 민감 정보를 요구한다.
- In respect to your unpaid payment of $3.5 Millions Dollar with the Royal Bank Of Asia.
- I work as the Foreign Operations Manager with one of the international banks here in Nigeria.
- There is an overdue unclaimed sum of USD$87.2 million US dollars (NNPC) contract payment in my bank Zenith International Bank Plc…
- reply urgently and to prove that, include your details and as soon as i receive this information I will forward you a text of an application which you will fill and send to the bank for the claim of the fund as i will direct you on what to do.
[그림1] BEC 공격 사례
AI 기술의 발전은 BEC 공격의 성공률을 높이는 데 일조한다. 최근 홍콩의 한 다국적 기업에서 발생한 사고가 이를 잘 보여준다. 공격자들은 AI 딥페이크 기술을 활용해 회사 CFO를 사칭하는 이메일을 보냈고, 재무 담당 직원이 이에 속아넘어가 2,500만 달러(한화 약 344억 원)를 송금하는 사태가 있었다. 당시 직원이 의심을 품고 화상 회의를 추가로 진행했지만, 회의에 참석한 CFO를 비롯해 여러 임직원들이 모습이 딥페이크로 조작돼 있었다. 결국 해당 직원은 조작된 화면에 속아 공격자에게 송금했다.
AI 기술의 발전에 힘입어, BEC 공격은 갈수록 더 정교하고 교묘해질 것이다. 딥페이크와 같은 기술을 활용한 사칭이 더욱 쉬워지고, 이에 따라 BEC 공격의 성공률 또한 높아질 것으로 예상된다. BEC 공격에 효과적으로 대응하기 위해 기업들은 각별한 주의와 대비가 필요한 상황이다.
또한, 공격자는 스피어 피싱 이메일을 통해 타겟이 악성 파일을 실행하거나, 민감한 데이터를 입력하도록 유도하는 교묘한 방식과 시나리오를 구성하기도 한다. 다음 4가지 사레는 실제로 공격에 사용된 스피어 피싱 메일이다.
[그림 1]의 첫 번째 사례에서 공격자는 내부 직원을 사칭했다. 하단의 이메일은 안랩 직원을 대상으로 발송됐는데, 발신자의 이메일 주소 도메인도 ‘ahnlab.com’으로 돼 있었다. 실제로는 발신자 이메일 주소가 조작된 것이었지만, 겉으로 봤을 때는 안랩 구성원 중 한 명이 메일과 다름없었다. 이메일에는 음성 메시지 수신을 알리는 내용과 함께 첨부 파일이 포함돼 있는데, 이 첨부 파일은 안랩 서비스로 위장한 피싱 페이지로 연결됐다. 피싱 페이지에는 이메일 수신인의 이름과 이메일 주소가 미리 입력돼 있었다. 만일 수신인이 이 페이지에서 로그인을 시도한다면, 입력된 계정 정보는 고스란히 공격자에게 전달된다.
[그림2] 스피어 피싱 사례1: 내부 직원 사칭
두 번째 사례에서는 공격자가 이메일 스레드를 연결해 마치 이전에 여러 차례 소통을 했던 것처럼 사용자를 속였다. 이메일 제목도 ‘RE:’로 시작해 이전 대화의 연장선상에 있는 것처럼 위장했다. 또한, 기업 이메일 작성 관행을 모방해 발신자 서명을 포함하고, 다수의 수신인과 참조인을 지정했다. 나아가, ‘Caution: This email has been scanned by AVIRA ANTIVIRUS and no virus found’라는 문구를 삽입해 안전한 이메일인 것처럼 사용자를 속이고, 수신인이 의심하지 않도록 했다. 본문에는 다음 업무를 진행하기 위해 첨부 파일을 신속히 확인해야 한다고 요구했다. 공격자는 며칠 간격으로 ‘Reminder’와 ‘Third Reminder’라는 제목의 후속 이메일을 보내 수신인을 재촉하기도 했다.
[그림3] 스피어 피싱 사례2: 이메일 스레드 연결을 통한 신뢰감 형성
세 번째 사례는 외부와 빈번히 이메일을 주고받는 직원을 겨냥한 공격이다. 공격자는 기업의 비즈니스에 관심 있는 척하며, 수신인이 특정 링크를 클릭하도록 유도한다. 이 링크는 악성 피싱 페이지로 연결되는데, 첫 번째 사례와 마찬가지로 이 페이지에서 로그인 정보를 입력하면 내부 계정 정보가 공격자에게 유출된다.
[그림4] 스피어 피싱 사례3: 링크 클릭 유도를 통한 정보 탈취 시도
네 번째 사례에서 공격자는 타겟의 사회적 관계를 사전에 파악하고, 실제 친분이 있는 사람을 사칭했다. 공격자는 이메일 발신자 주소의 스펠링을 약간 변경해 실제 주소와 유사하게 위장했다. 공격자가 사회공학적 기법을 교묘히 활용했기에, 수신인은 의심 없이 첨부된 악성 파일을 무심코 실행할 가능성이 높다.
[그림5] 스피어 피싱 사례4: 타겟의 사회적 관계 악용
보안 연구원들도 공격자들의 맞춤형 스피어 피싱 공격의 피해를 입을 수 있다. 과거 구글 TAG(Threat Analysis Group)에서 발표한 New campaign targeting security researchers와 Active North Korean campaign targeting security researchers 보고서에 따르면, 북한 배후로 추정되는 공격자들이 교묘한 사회공학적 기법을 이용해 보안 연구원을 대상으로 스피어 피싱 공격을 수행한 적이 있다.
공격자들은 보안 연구원들의 관심사와 연구 분야를 파악하고, 이를 바탕으로 맞춤형 피싱 이메일을 보내 공격을 시도한다. 보안 연구원이 관심 가질 만한 주제로 블로그를 운영하거나, 소셜 미디어를 통해 친밀한 관계를 만든다. 이후 최신 보안 이슈에 대한 분석 자료라며 악성코드가 포함된 문서를 보내거나, 흥미로운 취약점을 발견했다며 악성 링크가 포함된 이메일을 보내는 등의 방식으로 공격을 수행한다.
작년에는 링크드인을 통해 가짜 채용 제안을 보내 보안 리서처들을 공격하는 사례도 확인됐다. 공격자들은 채용 담당자로 위장해 접근한 뒤, 왓츠앱(WhatsApp)으로 대화를 이어가며 악성코드가 포함된 문서를 전송하는 수법을 사용했다.
이처럼 공격자들은 AI 기술과 치밀한 시나리오를 활용해 교묘하고 정교한 공격을 시도하고 있다. 우리는 시급해 보이는 요청이나 신뢰할 만한 사람으로부터 연락이 오더라도 반드시 발신인의 신원을 확인하고, 요청 내용의 타당성을 꼼꼼히 따져봐야 한다.
자세한 내용은 ASEC 블로그를 통해 확인할 수 있다.
AhnLab 2024-05-07 -
온라인 스캠 시리즈 3편 – 온라인 투자 사기와 피싱
월간안 5월호에서 소개할 온라인 스캠 시리즈 3편의 주제는 거짓 온라인 광고를 이용한 금융 투자 사기와 사칭 및 가짜 웹 사이트, 이메일을 통해 개인정보 또는 금전을 탈취하는 피싱 유형의 스캠이다. 특히 금융 투자 사기는 최근 범국가적으로 발생하고 있으며, 피싱 공격은 진위 여부를 판별하기 어려운 수준으로 진화하고 있다. 스캠 유형 별 구체적인 사례를 살펴보자.
2편 바로가기: 온라인 스캠 시리즈 2편 – 스캠의 종류와 몸캠 피싱
1. 온라인 금융 투자 사기
온라인 금융 투자 사기는 공격자가 불법적이고 부도덕한 방법으로 피해자를 속여 현금이나 가상 화폐 등의 금융 자산을 편취하는 범죄다. 공격자는 대부분 조직적으로 활동하며, 정교한 시나리오와 전문화된 다양한 공격 수법을 사용하기 때문에 연령이나 소득, 지적 수준에 관계없이 누구나 피해자가 될 수 있다.
1) 유명인 사칭 투자 플랫폼 광고
온라인 금융 투자 사기의 첫번째 사례로는 유명인 또는 전문가를 사칭한 플랫폼 광고가 있다. 지금은 잠잠해졌지만, 몇 개월 전까지만 해도 유명인 사칭 광고를 통한 불법 투자 사기가 횡행했으며, 이에 심각성을 느낀 유명인들이 직접 나서 정부를 상대로 문제 해결을 촉구하기도 했다. 공격자는 유명인의 사진을 무단으로 도용해 마치 해당 유명인이 투자 기회를 홍보하는 것처럼 조작하고, 이를 광고용으로 게시했다.
[그림 1] 유명인 사칭 유도 플랫폼 광고 예시
이 광고는 구글, 유튜브, 메타 등 많은 사람들이 이용하는 디지털 플랫폼에 빈번하게 노출됐다. 사진 속 유명인 또는 자극적인 썸네일에 혹한 사용자는 무심결에 링크를 클릭했다.
사기 플랫폼 광고는 구글이나 유튜브에서 검색했을 때도 노출됐다. 투자 관련 키워드를 검색하기만 해도 여러 개의 사칭 사이트가 최상단에 나타났으며, 해당 링크를 클릭하면 유명인을 사칭한 사이트로 접속됐다.
[그림 2]는 올해 3월 25일 구글과 유튜브에서 ‘급등주’, ‘주식 투자’와 같은 투자 키워드를 검색했을 때 나온 화면이다. 광고로 노출된 웹 사이트와 유튜브 영상은 모두 사기인 것으로 밝혀졌다.[그림 2] 투자 관련 키워드 검색 결과
이에, 플랫폼 업계는 정책 위반 광고를 삭제하고 차단하는 등 다양한 조치를 취했다. 하지만 일부 사기 광고는 삭제되지 않은 채 그대로 남아있으며, 메타에는 아직까지 유명인 사칭 광고가 다수 노출되고 있다.또한, 최근 유명인이 투자 플랫폼을 이용해 고수익을 냈다는 가짜 기사도 발견됐다. 해당 기사는 특정 언론사의 화면 구성, 색상, 글씨체 등을 완벽하게 모방한 사칭 사이트에 게재됐다.
[그림 3] 유명인 투자 관련 가짜 기사
해당 기사에서 언급된 투자 플랫폼 역시 사기로, 웹 사이트 접속 경로에 따라 지원 언어와 사칭 대상 유명인이 다른 것으로 확인됐다.
SNS 또는 포털에 노출된 유명인 사칭 광고 링크를 클릭하면 투자를 유도하는 가짜 사이트로 접속하게 되는데, 여기에는 모바일 메신저로 연결되는 링크가 있다. 사용자는 유명인 사칭 플랫폼 광고나 가짜 사이트의 메신저 앱(텔레그램, 라인, 카카오톡, 밴드 등) 접속 링크를 클릭해 채팅방에 참여한다. 이때부터 본격적인 금융 투자 사기 행위가 이뤄진다.
[그림 4] 단체 채팅방 접속 유도 화면
공격자는 사람들이 투자할 때 타인의 말과 행동에 크게 영향을 받는다는 점을 교묘하게 이용한다. 사용자를 수십 명에서 많게는 수백 명이 참여 중인 단체 채팅방에 초대한다.
이 단체 채팅방은 스캠 공격자들의 소굴이다. 채팅방에는 투자 정보와 주식 종목을 추천하는 한 명의 투자 전문가와 투자 전문가를 보조하며 소통 창구 역할을 하는 서포터, 그리고 전문가와 서포터의 말과 행동에 호응하는 대다수 투자자가 있다. 물론 이들은 모두 한 패다. 투자자는 전문가의 말을 따르니 정말 수익을 낼 수 있었고, 더 적극적으로 투자를 하겠다며 투자자를 전적으로 신뢰하는 분위기로 몰아간다. 채팅방에 접속한 사용자 중 일부는 투자자들의 수익률 인증과 전문가를 신뢰하도록 조작된 각종 자료를 보고, 자신도 투자하겠다는 마음을 먹는다.
이 과정은 단기간에 이루어지지 않으며, 최소 2~3주에서 최대 한 달 이상 장기간 진행된다. 투자금을 실제로 입금할 만한 순진한 사용자를 골라 내는 절차가 필요하기 때문이다. 만일 사용자가 해당 기간 동안 전문가를 의심하거나 판을 깨는 발언을 하면, 해당 메시지 문구는 즉시 가려지고, 채팅방에서 강제 퇴출 당한다.
[그림 5] 투자 사기 목적의 모바일 단체 채팅방
사기 행위를 벌이는 시나리오는 채팅방 별로 다르며, 꽤 자연스럽고 그럴 듯하다. 어떤 공격자는 실존하는 투자 회사를 사칭해 사무실을 만들고 연기를 하기도 했다. 또한, 공식 홈페이지를 복제해 영상을 올렸으며, 일부는 얼굴을 노출하는 대범함을 보였다.[그림 6] 공격자가 제작한 가짜 투자 사이트
공격자는 가짜 보도자료 또는 라이브 투자 강의를 공유하거나, 모바일 기프티콘을 뿌리고 매일 안부 인사를 하는 등 사용자의 의심을 사지 않기 위해 많은 노력을 기울였다. 그리고 대한민국 투자 시장에 관한 해박한 지식을 뽐내기도 했다. 이 외에, 채팅방에 가짜 모바일 앱 설치 링크를 보내며 사용자의 다운로드를 유도했다.
공격자 중에는 간혹 한국어를 유창하게 구사할 수 있는 사람도 있었지만, 대다수 말투는 다소 어색한 경향을 보였다.[그림 7] 가짜 모바일 앱 설치 링크 접속 시 나타나는 화면
공격자는 투자금을 입금하려는 사용자에게 투자금을 관리할 수 있는 전용 웹 사이트 혹은 모바일 앱 정보를 전달했다. 이 정보는 단체 채팅방이 아닌 단독 채팅을 통해 공유됐다. 모바일 앱은 구글 플레이(Google Play)나 애플 앱 스토어(Apple App Store)와 같은 공식 앱 스토어에 등록돼 있었으며, 웹 뷰(Web View) 기능만 제공했다. 하지만 앱이 공식 앱 스토어에 등록돼 있어 사기를 의심하는 사용자가 많지 않았다.
모바일 사기 앱의 주 목적은 사용자의 투자금 입금을 유도하는 것이었다. 투자금 입금 시 사용자는 신분증 앞뒤 사진을 전송한 뒤 심사를 받아야만 거래할 수 있었다. 투자 사기 피해자는 돈만 잃는 것이 아니라, 신원 정보도 탈취당했다.
유명인을 사칭한 플랫폼 광고는 태국, 일본 등 다른 아시아 국가에서도 확인됐다. [그림 8]은 동일한 광고주가 국가 별로 다른 사기 광고를 업로드한 사례다. 사칭 대상은 주로 해당 국가에서 잘 알려진 금융 전문가나 사회적 영향력이 있는 유명인으로, 국내 사례와 마찬가지로 광고를 클릭하면 투자 사기 사이트로 연결됐다.[그림 8] 해외 유명인 사칭 광고 사례
2) 고수익 부업 사기
온라인 금융 투자를 유도하는 두번째 스캠 사례는 부업 사기다. 부업 사기는 공격자가 주로 인스타그램을 통해 전업주부 및 여성들에게 팔로우를 걸어 DM(Direct Message)을 보내는 방식으로 이뤄진다. 공격자의 인스타그램 피드에는 경제적으로 여유로운 일상 또는 값비싼 물건을 보여주는 사진이 많다. 이 사진들은 모두 도용한 것이다. 이런 사진들로 사용자의 동경심을 불러일으키고, 사용자가 공격자에게 먼저 연락하도록 유도한다.
[그림 9] 부업을 홍보하는 스캠 공격자의 인스타그램 계정 피드
불법 카지노 베팅
공격자는 자신처럼 성공할 수 있는 비결로 간단한 온라인 게임을 제시하며, 웹 사이트에서 금액을 충전할 것을 요구한다. 사실 이것은 불법 카지노다. 공격자는 확실한 원금 보장을 약속하고, 투자 초기에는 수익금을 지급한다. 하지만 투자 금액이 점차 커지면 각종 이유를 대며 돈을 돌려주지 않고 추가 입금을 요구한다.
[그림 10] 베팅을 유도하는 스캠 사기
마케팅 부업 사기
마케팅 부업 사기도 비일비재하게 발생한다. 마케팅 부업 사기는 대체로 합법적인 마케팅 회사로부터 발생한다. 마케팅 회사는 부업을 원하는 사람을 모집하고, 이들에게 마케팅 플랫폼과 일감을 유료로 제공한다. 부업을 신청한 사용자는 부업 초기에 수백만 원 이상의 가입비 또는 교육비를 선 입금한다. 이들은 블로그 광고 글이나 체험단 후기 작성, 쇼핑몰 운영 등을 통해 소소한 수익을 낸다.
문제는 마케팅 회사에서 인력을 직접 관리하지 않고 개인들에게 의존한다는 것이다. 마케팅 부업은 개인이 다른 사람을 온라인으로 모집해 교육과 일감을 제공하는 구조다. 다시 말해, 실제로 일을 함으로써 얻는 소득은 훨씬 적고, 새로운 사람을 모집해야 높은 수익을 얻을 수 있다. 그래서 신규 인력만 모집하고 그 이후에는 연락을 소홀히 하거나 아예 끊어버리는 사례가 종종 확인된다.
다른 사람을 마케팅 부업 시장으로 끌어들이지 못하고 일만 해서는 초기 투자금을 회복하는데 상당히 오랜 시간이 걸린다. 따라서 마케팅 부업은 누군가에게는 좋은 일자리일 수도 있지만, 다단계 사기나 거의 다름없다.
[그림 11] 마케팅 부업 사기 예시
공동 구매
또한, 공격자는 불특정 다수에게 모바일 문자 메시지를 통해 상품 구매 대행 일자리를 소개하고, 연락을 유도한다. 회신을 한 사용자에게는 상품을 구매하고 일정한 수익금을 챙길 수 있다는 말로 현혹시킨다.
몇 차례 수익금을 지급해 신뢰를 쌓은 다음에는 점차 상품의 구매 가격을 높인다. 사용자는 더 많은 수익을 내기 위해 수백 또는 수천만 원의 자본을 투입한다. 그 이후에는 몇 명이 함께 참여하는 팀 공동구매로 이어지는데, 다른 팀원들의 정체는 스캠 공격자다. 이들은 단합과 공동 목표 달성이라는 명목 하에 사용자가 더 큰 액수의 돈을 입금하도록 한다.
사용자가 부업을 그만두고 최소한의 자금을 회수하려는 경우에도 공격자는 수수료나 세금 등 각종 꼼수를 부려 최대한 많은 돈을 갈취하려고 한다.
[그림 12] 공동 상품 구매 사기 예시
3) 로또 번호 추천 및 공모 청약
공격자는 매우 높은 확률로 당첨될 수 있는 로또 번호를 제공해 준다며 수업료 입금 및 불법 사행성 게임 참여를 유도한다. 로또 번호를 이용한 사기는 오래 전부터 유행했지만, 현재도 여전히 활발히 벌어지고 있다. 공격자가 보여주는 각종 자격증, 증명서, 수익 인증 화면은 모두 허위다.
[그림 13] 로또 번호 추천 사기
이 밖에, 공격자는 상장 예정인 기업을 사칭해 존재하지 않는 특별 공모 청약을 받기도 한다. 사칭 사이트는 실제 사이트와 똑같이 제작됐지만, 공모주 신청을 위한 개인정보 입력란이 있다는 차이가 있다. 공격자는 사용자에게 청약금을 받고, 그 이후에는 잠적한다.
[그림 14] 공모주 신청 사기 웹 사이트
4) 피해자 두 번 울리는 2차 사기
사용자는 사기를 당하면 온라인 커뮤니티를 통해 피해 구제 정보를 찾는다. 그런데 이때도 피해자를 노리는 또 다른 공격자가 있다. 여기서부터 2차 사기 범죄가 시작되는 것이다. 이미 패닉 상태에 빠진 피해자는 손실금을 되돌려주겠다는 공격자의 말을 신뢰한다. 공격자는 피해자에게 임시로 자금을 만들어 이체하라는 등의 비상식적인 요청을 하고, 자금을 갈취한다.
[그림 15] 2차 사기 사례
2. 쇼핑몰 사칭 및 무단 복제
온라인 쇼핑몰을 이용한 사기는 실제로 존재하는 쇼핑몰을 모방하거나, 가짜 쇼핑몰을 직접 제작한 유형이 있다.
먼저, 기존 쇼핑몰을 사칭한 유형부터 살펴보자. 일부 불법 사칭 온라인 쇼핑몰은 정상 온라인 쇼핑몰의 화면을 완벽하게 복제한다. 레이아웃, 색상, 배너, 아이콘 등의 시각적 요소뿐만 아니라 상품 정보도 정상적인 쇼핑몰과 동일하게 모방해 진짜인지 가짜인지 구분하기 어렵다.
웹사이트 하단의 사업자 정보 영역 역시 정상 쇼핑몰의 정보를 도용하며, 웹 사이트 도메인 주소 역시 정상 도메인과 유사하게 설정한다. 따라서 쇼핑몰 브랜드만 알고, 정확한 도메인 주소를 모르면 스캠 여부를 알아차리기 쉽지 않다.
정상 온라인 쇼핑몰
사칭 온라인 쇼핑몰 (현재는 접속 불가)
[표 1] 정상 쇼핑몰과 사칭 쇼핑몰 URL 비교
국내에서 발견된 사칭 온라인 쇼핑몰은 정상 쇼핑몰과 비교하면 상품 가격이 일반적인 유통 가격에 비해 현저히 낮게 책정돼 있어 소비자의 구매 욕구를 자극한다. 또한, 상품 검색이나 고객 문의 등 온라인 쇼핑몰의 일부 기본 기능이 제대로 작동하지 않는다. 이뿐만 아니라, 결제 수단으로 신용카드는 지원하지 않으며, 계좌이체에 한정돼 있다.
[그림 16]는 국내 온라인 쇼핑몰을 사칭하고 불법적으로 복제한 스캠 사이트의 예시다.
[그림 16] 국내 유명 온라인 소핑몰을 불법 복제한 가짜 쇼핑몰
공격자는 가짜 쇼핑몰을 자체적으로 제작하기도 한다. 가짜 쇼핑몰은 소비자를 속이기 위해 할인 이벤트, 구매 후기, 쇼핑몰 소개 페이지를 노출하고, 고객 문의에 성실하게 응대하는 등 정상적인 쇼핑몰로 위장한다. 또한, 상품 정보 제공, 신용카드 결제, 고객 지원 등 쇼핑몰의 주요 기능을 대부분 탑재했다. 하지만 소비자는 물건을 주문하고 결제를 완료하더라도 물건을 받지 못할 가능성이 높다.
공격자가 가짜 쇼핑몰을 직접 만드는 경우에도 실제 쇼핑몰을 사칭한 사례와 유사하게 낮은 상품 가격을 제시하고, 상품 이미지와 배너, 쇼핑몰 소개 페이지 콘텐츠를 다른 쇼핑몰에서 무단으로 가져오거나 복제한다. 따라서 평판 조회 등 외부 정보를 통한 신뢰도 검증 없이는 스캠 여부를 판단하는 데 한계가 있다.
[그림 17] 다른 사이트의 이미지를 가짜 쇼핑몰 배너 제작에 활용한 사례
3. 가짜 로그인 페이지
가짜 로그인 페이지는 사용자 계정 탈취를 목적으로 한다. 공격자는 실제 로그인 페이지와 유사한 피싱 페이지를 만들어 사용자의 로그인을 유도한다. 과거에는 레이아웃이나 로고 크기 등 시각적으로 어색한 피싱 페이지가 많았지만, 최근에는 정상과 구분하기 어려울 정도로 비슷하다. 사용자가 계정 정보를 입력하면 예상했던 화면이 그대로 나타나기도 한다. 이런 이유로, 로그인 페이지의 소스 코드를 면밀히 확인하지 않으면 가짜라는 것을 인지하기 어렵다.
[그림 18] 가짜 로그인 페이지 사례
4. 피싱 이메일
공격자는 사용자를 속이기 위해 피싱 이메일의 발신자 주소를 바꾸거나 이메일 본문 내용을 정상 메일과 매우 유사하게 만든다. 이 유형의 공격은 사용자가 첨부 파일을 실행하거나, 외부 링크를 클릭해 악성 파일 다운로드 및 악성 웹 사이트에 접속하도록 한다. 최근 공격자는 불특정 다수에게 무차별적으로 이메일을 발송하면서도, 수신자의 이메일 주소를 활용해 맞춤형 공격을 시도하기도 한다. 발신자 주소가 변조된 이메일은 DMARC(Domain-based Message Authentication Reporting and Conformance)와 같은 이메일 인증 체계를 도입하면 일정 부분 해결할 수 있지만, 설정과 관리가 복잡하다는 단점이 있다.
[그림 19] 피싱 이메일 사례
-- 4편에서 계속 --
AhnLab 2024-04-26 -
취약한 MS-SQL 서버에 설치되는 악성코드 주의!
안랩 분석팀이 최근 MS-SQL 서버 대상 공격을 모니터링하던 중 타깃컴퍼니(TargetCompany) 랜섬웨어 그룹이 말록스(Mallox) 랜섬웨어를 설치한 정황을 확인했다. 타깃컴퍼니 랜섬웨어 그룹은 부적절하게 관리되는 MS-SQL 서버를 대상으로 렘코스 RAT(Remcos RAT) 및 원격 화면 제어 악성코드와 말록스 랜섬웨어를 설치하는 것으로 알려졌다. 이번 글에서는 타깃컴퍼니 그룹의 MS-SQL 서버 공격 사례를 집중적으로 살펴본다.
이번 사례에서 사용된 공격 방식은 무차별 대입 및 사전 공격인 것으로 추정된다. 공격자는 SA 계정에 로그인한 후 렘코스 RAT(Remcos RAT)을 설치하고, 공격 수행 시점으로부터 4시간 후 원격 화면 제어 악성코드를 추가로 설치했다. 또 다른 시스템에서는 공격을 개시한 지 29시간이 지난 후 말록스 랜섬웨어를 추가 설치해 감염 대상 시스템 암호화를 시도했다.
먼저, 렘코스 RAT(Remote Access Trojan)은 다른 RAT 악성코드와 같이 키로깅, 스크린샷 캡쳐, 웹 캠 및 마이크 제어뿐만 아니라 시스템에 존재하는 웹 브라우저의 히스토리 및 비밀번호 추출 등 악의적으로 사용 가능한 기능들을 지원하기 때문에 많은 공격자가 사용한다.
[그림 1] 과거 버전의 렘코스가 지원하는 기능들
렘코스 RAT은 스팸 메일의 첨부 파일이나 크랙을 위장하는 방식으로 유포되는 경우도 많지만, 부적절하게 관리되는 MS-SQL 서버를 공격할 때도 감염 대상 시스템을 제어하려는 목적으로 침투 테스팅 툴인 코발트 스트라이크(Cobalt Strike)와 함께 자주 사용된다. 작년 5월에는 보안 제품의 탐지를 우회하기 위해 MS-SQL 서버를 장악한 후, 파워쉘(Power Shell) 대신 SQLPS(SQL Server PowerShell) 유틸리티를 악용하기도 했다.
이번에도 공격자는 악성코드를 설치하는 과정에서 SQLPS 툴을 사용했다.
[그림 2] SQLPS를 통해 설치되는 렘코스 RAT
공격에 사용된 렘코스 RAT은 4.9.3 라이트(Light) 버전이다. 라이트 버전은 프로(Pro) 버전과 달리 키로깅이나 스크린샷 캡처 등의 기능을 지원하지 않는다. [그림 3]은 렘코스 RAT에서 실행 중 복호화된 설정 데이터를 보여준다.
[그림 3] 렘코스 RAT 실행 중 복호화된 설정 데이터
설정
데이터
Host:Port:Password
80.66.75[.]238:3388:1
Assigned name
RemoteHost
Connect interval
1
Mutex
Rmc-8P1R4F
Keylog flag
Disabled
Keylog path
Application path
Keylog file
logs.dat
Screenshot flag
Disabled
Screenshot time
10
Screenshot path
AppData
Screenshot file
Screenshots
Audio record time
5
Audio folder
MicRecords
Copy folder
Remcos
Keylog folder
remcos
[표 1] 렘코스 RAT의 설정 데이터 일부
공격자는 렘코스 RAT을 통해 추가 악성코드를 설치했는데, 처음 설치된 것은 애니데스크(AnyDesk)와 추가한 사용자 계정으로 감염 대상 시스템을 제어할 수 있는 악성코드였다. 이는 공격에 사용한 렘코스가 라이트 버전인 것을 감안해, 원격 제어를 보다 더 원활하게 하기 위함인 것으로 보인다.
앞서 언급한 것처럼, 공격자가 최초로 공격을 수행한 후 렘코스 RAT에 의해 처음 설치되는 원격 화면 제어 악성코드다. 이 악성코드는 먼저 C&C 서버의 “creds” 주소에 접속해 문자열을 다운로드한다. 당시 공격자는 “ID;PW” 포맷의 문자열을 다운로드할 수 있었을 것으로 추정된다. 공격자는 해당 문자열의 ID와 비밀번호로 사용자 계정을 추가하고, 관리자 그룹으로 등록한다.
URL
설명
https://{C&C서버}/creds
추가할 사용자 계정 문자열 다운로드 (ID;PW 포맷)
https://{C&C서버}/secret
AnyDesk 설치 시 지정할 비밀번호 문자열 다운로드
https://{C&C서버}/desk
AnyDesk 설치 파일 다운로드 (MSI)
https://{C&C서버}/gate/{AnyDesk_ID}
설치한 AnyDesk의 ID 전송
[표 2] C&C 서버와의 통신 방식
이후 “secret” 주소에 접속해 문자열을 다운로드하는데, 이는 애니데스크 설치 이후 지정할 비밀번호다. 또한, Program Files 경로에서 “\AnyDeskMSI\AnyDeskMSI.exe” 파일이 존재하는지 확인한다. 애니데스크가 설치돼 있지 않은 경우 “desk” 주소에서 MSI(Microsoft Intune) 포맷의 애니데스크 설치 파일을 다운로드하고 설치한다. 여기까지의 과정이 끝나면, C&C 서버에서 다운로드한 비밀번호를 애니데스크에 설정하고, 설치한 애니데스크의 ID를 구한다. 그런 다음, 공격자는 이 ID를 “gate” 주소에 전달한다.
[그림 4] Pipe를 통해 애니데스크 프로세스에 인자를 전달하는 방식
인자
설명
–start-service
AnyDesk 서비스 시작
–set-password
AnyDesk에 비밀번호 설정
–restart-service
AnyDesk 서비스 재시작
–get-id
설치된 AnyDesk의 ID 구하기
[표 3] 애니데스크 설치 과정에서 사용되는 인자
공격자는 C&C 서버로 전달받은 애니데스크의 ID를 이용해 감염 대상 시스템에 접근하고, “secret”으로 전달한 비밀번호로 인증해 감염 대상 시스템을 제어할 수 있었을 것으로 보인다. 또한, 추가한 계정 정보로 감염 대상 시스템에 RDP(Remote Desktop Protocol), 즉, 원격 데스크톱으로 로그인해 원격 화면 제어도 가능했을 것이다.
[그림 5] 애니데스크로 감염 대상 시스템에 로그인하는 과정
그 다음으로, 말록스 랜섬웨어는 트리고나(Trigona), 블루스카이(BlueSky) 랜섬웨어와 같이, 부적절하게 관리되는 MS-SQL 서버를 공격하는 대표적인 랜섬웨어 중 하나다.
개요
설명
암호화 알고리즘
AES-256 / SHA-256,AES-128-CTR [5]
암호화 확장자
“.rmallox”
랜섬 노트 이름
“HOW TO BACK FILES.txt”
우선순위 암호화 확장자
“.bak”, “.zip”, “.rar”, “.7z”, “.gz”, “.sql”, “.mdf”, “.hdd”, “.vhd”, “.vdi”, “.vmx”, “.vmdk”, “.nvram”, “.vmem”, “.vmsn”, “.vmsd”, “.vmss”, “.lck”, “.vhdx”, “.vhd”, “.dbf”, “.ora”, “.oraenv”, “.dmp”, “.ibd”, “.mdb”, “.smd”, “.mdb”
암호화 제외 경로
“msocache”, “$windows.~ws”, “system volume information”, “intel”, “appdata”, “perflogs”, “programdata”, “google”, “application data”, “tor browser”, “boot”, “$windows.~bt”, “mozilla”, “boot”, “windows.old”, “Windows Microsoft.NET”, “WindowsPowerShell”, “Windows NT”, “Windows”, “Common Files”, “Microsoft Security Client”, “Internet Explorer”, “Reference”, “Assemblies”, “Windows Defender”, “Microsoft ASP.NET”, “Core Runtime”, “Package”, “Store”, “Microsoft Help Viewer”, “Microsoft MPI”, “Windows Kits”, “Microsoft.NET”, “Windows Mail”, “Microsoft Security Client”, “Package Store”, “Microsoft Analysis Services”, “Windows Portable Devices”, “Windows Photo Viewer”, “Windows Sidebar”
암호화 제외 파일
“desktop.ini”, “ntuser.dat”, “thumbs.db”, “iconcache.db”, “ntuser.ini”, “ntldr”, “bootfont.bin”, “ntuser.dat.log”, “bootsect.bak”, “boot.ini”, “autorun.inf”, “debugLog.txt”, “TargetInfo.txt”
암호화 제외 확장자
“.msstyles”, “.icl”, “.idx”, “.avast”, “.rtp”, “.mallox”, “.sys”, “.nomedia”, “.dll”, “.hta”, “.cur”, “.lock”, “.cpl”, “.Globeimposter-Alpha865qqz”, “.ics”, “.hlp”, “.com”, “.spl”, “.msi”, “.key”, “.mpa”, “.rom”, “.drv”, “.bat”, “.386”, “.adv”, “.diangcab”, “.mod”, “.scr”, “.theme”, “.ocx”, “.prf”, “.cab”, “.diagcfg”, “.msu”, “.cmd”, “.ico”, “.msc”, “.ani”, “.icns”, “.diagpkg”, “.deskthemepack”, “.wpx”, “.msp”, “.bin”, “.themepack”, “.shs”, “.nls”, “.exe”, “.lnk”, “.ps1”, “.rmallox”
종료 대상 프로세스
참고 자료에 정리
종료 대상 서비스
참고 자료에 정리
C&C 주소
hxxp://91.215.85[.]142/QWEwqdsvsf/ap.php
기타
볼륨 쉐도우 삭제. 종료 기능 비활성화.
[표 4] 말록스 랜섬웨어
말록스 랜섬웨어는 다음 명령들을 사용해 볼륨 쉐도우 복사본(Volume Shadow Copy)를 삭제하고, 윈도우 복구 관련 기능을 비활성화한다.
> cmd.exe /c bcdedit /set {current} bootstatuspolicy ignoreallfailures
> cmd.exe /c bcdedit /set {current} recoveryenabled no
> vssadmin.exe delete shadows /all /quiet그리고 데이터베이스나 가상화, 백업 솔루션 등 파일 암호화에 방해되는 프로세스 및 서비스를 강제로종료한다. 말록스는 이 외에도 다음과 같은 레지스트리 키를 설정해 종료, 재부팅, 로그아웃 버튼을 비활성화하고 로그온 화면에서 종료 기능을 비활성화하는 등 암호화 과정에서 사용자가 시스템의 전원을 끄거나 재부팅하는 것을 방해한다.
설정 대상 레지스트리
설명
HKLM\SOFTWARE\Microsoft\PolicyManager\default\Start\HideShutDown / value / 0x00000001
HKLM\SOFTWARE\Microsoft\PolicyManager\default\Start\HideRestart / value / 0x00000001
HKLM\SOFTWARE\Microsoft\PolicyManager\default\Start\HideSignOut / value / 0x00000001종료, 재부팅, 로그아웃 버튼 비활성화
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System / shutdownwithoutlogon / 0x00000000
로그온 화면에서 종료 기능 비활성화
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services / MaxConnectionTime / 0x00000000
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services / MaxDisconnectionTime / 0x00000000
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services / MaxIdleTime / 0x00000000원격 데스크톱 연결 제한
[표 5] 레지스트리 수정
말록스는 공유 폴더에 접근해 자신을 전파하는 기능을 지원하며, 감염 대상 시스템의 기본적인 정보를수집하고, C&C 서버에 전송한다.
[표 6] C&C 서버에 전송하는 데이터
여기까지의 과정이 끝나면 다음과 같은 랜섬노트를 생성하고, 시스템의 파일을 암호화한다.
[표 7] 말록스의 랜섬노트
결론
이처럼 최근 취약한 MS-SQL 서버에 렘코스 RAT, 원격 화면 제어 악성코드뿐만 아니라 말록스 랜섬웨어를 설치하는 공격 사례가 지속적으로 확인되고 있다. 말록스 랜섬웨어 공격자들은 수익을 위해 감염 대상 시스템을 암호화하고, 민감한 정보를 탈취해 협박하는 방식을 사용한다. 이 외에도 자격 증명 정보 탈취 및 측면 이동을 위한 다양한 수법을 사용하기 때문에 기업 내부망 전체가 장악돼 민감한 정보가 탈취되고, 네트워크 내 시스템이 암호화될 수 있다.
이번 사례에서도 MS-SQL 서버를 공격하는 과정에서 무차별 대입 공격(Brute Forcing)과 사전 공격(Dictionary Attack)이 사용된 점을 고려하면, 계정의 비밀번호를 추측하기 어려운 형태로 사용하고, 주기적으로 변경해 이들 공격으로부터 데이터베이스(DB) 서버를 안전하게 보호해야 한다.
또한, V3를 최신 버전으로 업데이트해 악성코드 감염을 사전에 차단할 수 있도록 신경 써야 한다. 그리고 외부에 공개돼 접근 가능한 데이터베이스 서버에 대해 방화벽과 같은 보안 제품을 이용해 외부 공격자의 접근을 통제해야 한다. 이런 조치가 선행되지 않는다면, 공격자 및 악성코드 감염은 지속적으로 이루어질 수밖에 없다.
자세한 내용은 ASEC 블로그를 통해 확인할 수 있다.
AhnLab 2024-04-23
