[보안뉴스 김형근 기자] 마이크로소프트(MS)의 클라우드 데이터 전송 도구인 애즈카피(AzCopy)가 최근 랜섬웨어 공격자들에 의해 데이터를 몰래 빼돌리는 도구로 악용되고 있다.

이 도구는 설치가 필요 없는 단독 실행 파일이며, 정상적인 HTTPS 연결을 사용하기 때문에 대부분의 EDR 솔루션이 완벽하게 탐지할 수 없다.

공격자들은 수사 당국의 압박을 받는 불법 호스팅 대신, 누구나 쉽게 만들 수 있는 애저(Azure) 블롭 스토리지를 데이터 수집 서버로 활용한다.


[출처: gettyimagesbank]

글로벌 데이터 보안 전문 기업인 바로니스(Varonis) 위협 연구소의 분석에 따르면, 공격자들은 SAS(Shared Access Signature) 토큰을 생성해 비밀번호 없이도 공격자 계정에 접근한다.

이 토큰은 3일 8시간과 같이 특정 기간에만 활성화되도록 설정돼 보안 팀의 추적을 회피하는 치밀함을 보인다.

공격자는 --include-after 파라미터를 사용해 특정 날짜 이후의 최신 파일만 낱낱이 골라내는 정밀한 타겟팅을 수행한다. 또 --cap-mbps 옵션으로 업로드 속도를 제한해 네트워크 트래픽 급증에 따른 탐지 임계값을 교묘하게 넘기지 않는 전술을 구사한다.

이러한 기법은 데이터 유출 과정이 정상적인 클라우드 동기화 작업처럼 보이게 만들어 보안 팀이 심각한 위협을 인지하지 못하게 한다.

데이터 탈취가 완료되면 공격자들은 가용성을 파괴하는 시스템 암호화와 기밀성을 폭로하는 데이터 유출 위협을 병행하는 이중 협박 전술을 구사하며, 피해 조직에 심리적·경제적 압박을 가한다.

조사가 시작되기 전, 공격자들은 실행 로그가 남는 .azcopy 숨김 폴더를 삭제해 공격 흔적을 인멸한다.

전문가들은 애저 스토리지와 평소 통신하지 않는 시스템에서 발생하는 외부 연결을 정밀하게 모니터링해야 한다고 권고한다. 또 사용자 및 개체 행동 분석(UEBA)를 도입해 평소와 다른 파일 접근 패턴을 감시하는 것이 중대한 방어책이 된다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>