.jpg)
한 뉴스레터 전송 서비스를 공격자들이 활용하기 시작했다. 뉴스레터를 전송해주는 기능을 가지고 자신들의 악성 메일을 보내고 있으며, 이 이메일을 통해 피해자들의 크리덴셜을 수집하는 중이다.
[보안뉴스 문가용 기자] 대량의 크리덴셜을 수집하려는 악성 캠페인이 적발됐다. 공격자들은 슈퍼메일러(SuperMailer)라는 일반 이메일 뉴스레터 프로그램을 활용해 공격을 실시했고, 이메일 보안 프로그램과 장치들을 성공적으로 회피해갈 수 있었다고 한다. 보안 업체 코펜스(Cofense)가 5월 23일 보고서를 통해 이와 같은 사실을 세상에 알렸다.
[이미지 = gettyimagesbank]
코펜스에 의하면 이번 공격 캠페인의 특징은 덩치가 어마어마하다는 것이다. 코펜스가 5월 1일부터 집계한 모든 크리덴셜 피싱 공격의 5%가 이 캠페인을 통해서 일어났을 정도였다. 게다가 공격의 규모는 기하급수적으로 늘어나는 것처럼 보인다. 지난 4개월 동안 매달 전달 대비 2배 이상의 공격 횟수가 기록됐다. 원래 크리덴셜 탈취 공격이 꾸준히 증가 추세를 보이고 있긴 하지만, 그걸 감안하더라도 놀라운 성장률이라고 코펜스는 짚는다.
“슈퍼메일러가 제공하는 각종 기능들과, 공격자들이 가진 탐지 회피 기술이 합쳐져서 무서운 시너지를 내고 있는 것으로 보입니다. 이들은 각종 이메일 방어 솔루션을 회피할 뿐만 아니라, 평범해 보이는 피싱 이메일을 정교하게, 맞춤형으로 만들어 여기 저기 보내고 있습니다.” 코펜스의 수석 분석가 브래드 하스(Brad Haas)의 설명이다. “건축, 소비재, 에너지, 금융, 식료품, 정부, 의료, 정보 분석, 보험, 제조, 미디어, 광산업, 각종 전문 서비스, 도소매, 테크놀로지, 운송, 유틸리티 등 이들의 메일이 가지 않은 곳을 찾기 힘들 정도입니다.”
슈퍼메일러를 통한 피싱 공격
한 가지 흥미로운 사실은 슈퍼메일러가 유명하다고 말하기 힘든 뉴스레터 서비스라는 것이다. 독일에서 만들어진 서비스이지만 그 규모나 인기에 있어서 절대로 첫 손에 꼽힐 만한 것이 아니라고 하스는 강조한다. “슈퍼메일러는 데스크톱 소프트웨어로 일정 비용을 내고 간편하게 사용할 수 있습니다. 무료 버전의 경우 2019년 출시됐는데 현재까지 겨우 1700회 정도 다운로드 됐을 뿐입니다. 높다고 말하기 힘든 숫자입니다.”
게다가 슈퍼메일러 클라이언트는 개발사 공식 사이트만이 아니라 각종 서드파티 사이트들을 통해서도 배포되고 있다. 그리고 서버나 클라우드 요소를 전혀 가지고 있지 않다. 그렇기 때문에 하스는 “지금 시점에서 슈퍼메일러가 자신의 생태계 내에서 악성 행위를 솎아내거나 차단하는 일을 할 수 없을 것으로 보인다”고 말한다.
“대형 클라우드를 기반으로 한 각종 서비스를 남용한 피싱 캠페인은 지금도 성행하고 있습니다. 하지만 말 그대로 대형 클라우드 플랫폼에서 벌어지는 일이기 때문에 플랫폼 운영사가 결국에는 문제의 근원을 찾아내 뿌리를 뽑습니다. 그러면 공격자들은 다시 클라우드에서 눈에 안 띄게 새로운 터전을 마련하여 공격을 반복하죠. 하지만 슈퍼메일러 생태계에서는 그러한 공방이 있을 수 없습니다. 그래서 공격이 얼마나 광범위한지, 피해 규모가 어느 정도인지 알 수가 없습니다.”
하스의 설명에는 공격자들이 슈퍼메일러를 통해 공격을 한 이유가 드러나있다. 업체가 공격자들을 찾아내 제거할 수 없다는 것이다. 유명하지 않고, 플랫폼이 광범위 하지 않으니, 오히려 눈에 띄지 않은 채 공격을 이어갈 수 있다는 게 슈퍼메일러의 장점으로 작용한 것이라고 코펜스는 보고 있다.
이메일 보안 기능 회피하기
“정상적으로 기획되고 제작된 도구나 서비스들이 공격자의 도구로 전락하는 건 매우 흔한 일임이 다시 한 번 증명됐습니다.” 하스의 설명이다. “자기들만의 공격 도구를 만드는 것도 나름의 장점이 있습니다만, 정상적인 서비스를 공격 도구로 활용하는 것도 큰 장점을 가지고 있습니다. 공격자들의 움직임이 정상으로 보이게 할 수 있다는 겁니다. 실제로 정상적인 모의 해킹 도구가 실제 공격자들의 해킹 도구로 변질되는 일은 흔히 볼 수 있는 일입니다.”
게다가 정상적인 도구와 서비스들은 여타 다른 도구 및 서비스들과의 호환성도 좋다. 슈퍼메일러의 경우도 여러 이메일 업체의 서비스와 호환이 되며, 그렇기 때문에 공격자들은 별도의 연구나 준비 없이도 다른 이메일 플랫폼에 자신들의 마수를 뻗칠 수 있게 된다. 그러면서도 보안 솔루션에 들키지 않을 수 있다. 한 마디로 스리슬쩍 숨어들기에 안성맞춤이라는 것이다. “아마도 공격자들은 여러 이메일 계정을 미리 침해해 두었을 겁니다. 그리고 슈퍼메일러의 보내기 기능을 각 계정을 통해 발동시켜 메일을 보냈을 거라고 생각합니다.”
슈퍼메일러 통한 공격, 어떻게 방어하나
은밀히, 메일 서비스 업체 측의 방해 없이 진행되던 슈퍼메일러 공격을 코펜스는 ‘공격자 편의 실수’ 덕분에 파악할 수 있었다고 한다. “공격자들이 이메일 템플릿을 만들다가 코딩 실수를 했습니다. 모든 이메일들에 고유 문자열이 내포되어 있었고, 이 문자열은 ‘이 이메일은 슈퍼메일러를 통해 작성됐다’는 내용을 담고 있습니다. 즉, 공격자들이 자신들의 피싱 이메일에 일종의 표식을 붙인 겁니다. 다만 이 문자열이 포함된 모든 이메일을 자동으로 차단한다고 해서 방어가 되는 건 아닙니다.”
하스는 “아직 공격자들이 보낸 메일을 한 번에 차단할 수 있을 만한 특별한 공통점을 찾아내지는 못했다”고 말한다. 저희가 발견한 ‘표식’은 단순 실수로 인한 것이라 모든 메일에 다 똑같이 존재하고 있다고 하기는 어렵습니다. 공격자들이 실수를 깨닫는 순간 사라지겠죠. 실제로 이들의 슈퍼메일러 피싱 메일 모두에 그런 표식이 있는 것도 아니고요.”
그렇다고 이 캠페인을 막을 방법이 아예 없는 건 아니다. “위험한 이메일이라는 힌트는 또 있습니다. 슈퍼메일러 캠페인의 일환으로 전송된 메일이라는 걸 깨닫든 못 깨닫든 상관 없이 알아챌 수 있어요. 바로 이메일 내용이죠. 정교하게 만들었다고 하더라도 이 캠페인은 표적형 공격이 아닙니다. 즉 받는 사람만 알 수 있는 내용, 그러므로 속을 수밖에 없는 장치 같은 게 이메일에 존재하지 않습니다. 우리가 흔히 아는 그런 피싱 메일과 크게 결을 달리하지 않는다는 겁니다.”
하스의 설명은 곧 “사용자의 느낌만으로도 방어가 가능하다”는 뜻이 된다. “지금도 많은 일반 사용자들이 자신의 메일함에 들어와 있는 수상한 메일을 곧잘 걸러냅니다. 그만큼 피싱 메일에 대해 인지하고 있다는 것이죠. 이번 슈퍼메일러 공격도 크게 다르지 않습니다. 그러므로 피싱 메일에 대한 꾸준한 교육과 훈련이 슈퍼메일러 캠페인을 막는 중요한 무기가 될 수 있습니다.”
3줄 요약
1. 독일의 그리 유명하지 않은 뉴스레터 전송 서비스 슈퍼메일러.
2. 공격자들이 이 슈퍼메일러를 통해 대규모 크리덴셜 수집 공격 펼치고 있음.
3. 슈퍼메일러의 회사 규모와 서비스 구조 상 캠페인을 솎아내기 어려울 것으로 보임.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 대량의 크리덴셜을 수집하려는 악성 캠페인이 적발됐다. 공격자들은 슈퍼메일러(SuperMailer)라는 일반 이메일 뉴스레터 프로그램을 활용해 공격을 실시했고, 이메일 보안 프로그램과 장치들을 성공적으로 회피해갈 수 있었다고 한다. 보안 업체 코펜스(Cofense)가 5월 23일 보고서를 통해 이와 같은 사실을 세상에 알렸다.
[이미지 = gettyimagesbank]
코펜스에 의하면 이번 공격 캠페인의 특징은 덩치가 어마어마하다는 것이다. 코펜스가 5월 1일부터 집계한 모든 크리덴셜 피싱 공격의 5%가 이 캠페인을 통해서 일어났을 정도였다. 게다가 공격의 규모는 기하급수적으로 늘어나는 것처럼 보인다. 지난 4개월 동안 매달 전달 대비 2배 이상의 공격 횟수가 기록됐다. 원래 크리덴셜 탈취 공격이 꾸준히 증가 추세를 보이고 있긴 하지만, 그걸 감안하더라도 놀라운 성장률이라고 코펜스는 짚는다.
“슈퍼메일러가 제공하는 각종 기능들과, 공격자들이 가진 탐지 회피 기술이 합쳐져서 무서운 시너지를 내고 있는 것으로 보입니다. 이들은 각종 이메일 방어 솔루션을 회피할 뿐만 아니라, 평범해 보이는 피싱 이메일을 정교하게, 맞춤형으로 만들어 여기 저기 보내고 있습니다.” 코펜스의 수석 분석가 브래드 하스(Brad Haas)의 설명이다. “건축, 소비재, 에너지, 금융, 식료품, 정부, 의료, 정보 분석, 보험, 제조, 미디어, 광산업, 각종 전문 서비스, 도소매, 테크놀로지, 운송, 유틸리티 등 이들의 메일이 가지 않은 곳을 찾기 힘들 정도입니다.”
슈퍼메일러를 통한 피싱 공격
한 가지 흥미로운 사실은 슈퍼메일러가 유명하다고 말하기 힘든 뉴스레터 서비스라는 것이다. 독일에서 만들어진 서비스이지만 그 규모나 인기에 있어서 절대로 첫 손에 꼽힐 만한 것이 아니라고 하스는 강조한다. “슈퍼메일러는 데스크톱 소프트웨어로 일정 비용을 내고 간편하게 사용할 수 있습니다. 무료 버전의 경우 2019년 출시됐는데 현재까지 겨우 1700회 정도 다운로드 됐을 뿐입니다. 높다고 말하기 힘든 숫자입니다.”
게다가 슈퍼메일러 클라이언트는 개발사 공식 사이트만이 아니라 각종 서드파티 사이트들을 통해서도 배포되고 있다. 그리고 서버나 클라우드 요소를 전혀 가지고 있지 않다. 그렇기 때문에 하스는 “지금 시점에서 슈퍼메일러가 자신의 생태계 내에서 악성 행위를 솎아내거나 차단하는 일을 할 수 없을 것으로 보인다”고 말한다.
“대형 클라우드를 기반으로 한 각종 서비스를 남용한 피싱 캠페인은 지금도 성행하고 있습니다. 하지만 말 그대로 대형 클라우드 플랫폼에서 벌어지는 일이기 때문에 플랫폼 운영사가 결국에는 문제의 근원을 찾아내 뿌리를 뽑습니다. 그러면 공격자들은 다시 클라우드에서 눈에 안 띄게 새로운 터전을 마련하여 공격을 반복하죠. 하지만 슈퍼메일러 생태계에서는 그러한 공방이 있을 수 없습니다. 그래서 공격이 얼마나 광범위한지, 피해 규모가 어느 정도인지 알 수가 없습니다.”
하스의 설명에는 공격자들이 슈퍼메일러를 통해 공격을 한 이유가 드러나있다. 업체가 공격자들을 찾아내 제거할 수 없다는 것이다. 유명하지 않고, 플랫폼이 광범위 하지 않으니, 오히려 눈에 띄지 않은 채 공격을 이어갈 수 있다는 게 슈퍼메일러의 장점으로 작용한 것이라고 코펜스는 보고 있다.
이메일 보안 기능 회피하기
“정상적으로 기획되고 제작된 도구나 서비스들이 공격자의 도구로 전락하는 건 매우 흔한 일임이 다시 한 번 증명됐습니다.” 하스의 설명이다. “자기들만의 공격 도구를 만드는 것도 나름의 장점이 있습니다만, 정상적인 서비스를 공격 도구로 활용하는 것도 큰 장점을 가지고 있습니다. 공격자들의 움직임이 정상으로 보이게 할 수 있다는 겁니다. 실제로 정상적인 모의 해킹 도구가 실제 공격자들의 해킹 도구로 변질되는 일은 흔히 볼 수 있는 일입니다.”
게다가 정상적인 도구와 서비스들은 여타 다른 도구 및 서비스들과의 호환성도 좋다. 슈퍼메일러의 경우도 여러 이메일 업체의 서비스와 호환이 되며, 그렇기 때문에 공격자들은 별도의 연구나 준비 없이도 다른 이메일 플랫폼에 자신들의 마수를 뻗칠 수 있게 된다. 그러면서도 보안 솔루션에 들키지 않을 수 있다. 한 마디로 스리슬쩍 숨어들기에 안성맞춤이라는 것이다. “아마도 공격자들은 여러 이메일 계정을 미리 침해해 두었을 겁니다. 그리고 슈퍼메일러의 보내기 기능을 각 계정을 통해 발동시켜 메일을 보냈을 거라고 생각합니다.”
슈퍼메일러 통한 공격, 어떻게 방어하나
은밀히, 메일 서비스 업체 측의 방해 없이 진행되던 슈퍼메일러 공격을 코펜스는 ‘공격자 편의 실수’ 덕분에 파악할 수 있었다고 한다. “공격자들이 이메일 템플릿을 만들다가 코딩 실수를 했습니다. 모든 이메일들에 고유 문자열이 내포되어 있었고, 이 문자열은 ‘이 이메일은 슈퍼메일러를 통해 작성됐다’는 내용을 담고 있습니다. 즉, 공격자들이 자신들의 피싱 이메일에 일종의 표식을 붙인 겁니다. 다만 이 문자열이 포함된 모든 이메일을 자동으로 차단한다고 해서 방어가 되는 건 아닙니다.”
하스는 “아직 공격자들이 보낸 메일을 한 번에 차단할 수 있을 만한 특별한 공통점을 찾아내지는 못했다”고 말한다. 저희가 발견한 ‘표식’은 단순 실수로 인한 것이라 모든 메일에 다 똑같이 존재하고 있다고 하기는 어렵습니다. 공격자들이 실수를 깨닫는 순간 사라지겠죠. 실제로 이들의 슈퍼메일러 피싱 메일 모두에 그런 표식이 있는 것도 아니고요.”
그렇다고 이 캠페인을 막을 방법이 아예 없는 건 아니다. “위험한 이메일이라는 힌트는 또 있습니다. 슈퍼메일러 캠페인의 일환으로 전송된 메일이라는 걸 깨닫든 못 깨닫든 상관 없이 알아챌 수 있어요. 바로 이메일 내용이죠. 정교하게 만들었다고 하더라도 이 캠페인은 표적형 공격이 아닙니다. 즉 받는 사람만 알 수 있는 내용, 그러므로 속을 수밖에 없는 장치 같은 게 이메일에 존재하지 않습니다. 우리가 흔히 아는 그런 피싱 메일과 크게 결을 달리하지 않는다는 겁니다.”
하스의 설명은 곧 “사용자의 느낌만으로도 방어가 가능하다”는 뜻이 된다. “지금도 많은 일반 사용자들이 자신의 메일함에 들어와 있는 수상한 메일을 곧잘 걸러냅니다. 그만큼 피싱 메일에 대해 인지하고 있다는 것이죠. 이번 슈퍼메일러 공격도 크게 다르지 않습니다. 그러므로 피싱 메일에 대한 꾸준한 교육과 훈련이 슈퍼메일러 캠페인을 막는 중요한 무기가 될 수 있습니다.”
3줄 요약
1. 독일의 그리 유명하지 않은 뉴스레터 전송 서비스 슈퍼메일러.
2. 공격자들이 이 슈퍼메일러를 통해 대규모 크리덴셜 수집 공격 펼치고 있음.
3. 슈퍼메일러의 회사 규모와 서비스 구조 상 캠페인을 솎아내기 어려울 것으로 보임.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
(0).jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
