악성 도메인 및 IP 주소 신속히 파악 및 차단, 광고 시스템 취약점 보완 노력 중요
[보안뉴스 김영명 기자] 최근 며칠간 슬랙(Slack)과 관련된 의심스러운 광고가 구글 검색 결과 상단에서 지속적으로 발견됐다. 이 광고는 겉보기에 합법적이고, 광고를 클릭해도 슬랙의 공식 사이트로 리디렉션되며, 악성 행위는 보이지 않았다. 다만 구글 광고 캠페인에서 확인할 수 있는 광고주와 추가 정보를 보면, 해당 광고주는 아시아(홍콩) 지역을 목표로 한다. 과거 구글 광고 캠페인과 비교하면 슬랙과 아무 관련이 없는 일반 광고 소재만 있는 것으로 보아 캠페인의 광고주 계정이 공격자에 의해 해킹당한 것으로 추정된다.
▲슬랙 멀버타이징 공격으로 노출된 구글 검색 결과 상단의 슬랙광고 화면[출처=Malwarebytes Labs]
최근 멀웨어바이츠 랩스(Malwarebytes Labs)가 멀버타이징(Malvertising) 공격기법을 사용한 슬랙(Slack) 악성 광고 사례에 대한 분석 보고서를 공개했다. 멀버타이징 공격이란 악성코드(Malware)와 광고(Advertising)를 합친 합성어다. 광고 캠페인을 악용해 사용자를 악성코드에 노출시키거나 악성 웹사이트로 보내는 공격 형태를 일컫는다. 일반적으로 멀버타이징 기법을 사용하는 공격자들은 슬랙과 같은 인기 있는 소프트웨어나 웹사이트를 표적으로 삼으며, 더 많은 피해자를 공격하기 위해 탐지 회피에 노력한다.
리디렉션 기법 악용해 사용자 의심 없애려는 전략 펼쳐
에이아이스페라(AI스페라)에 따르면 광고는 초기 공식 슬랙 사이트의 가격 페이지로 리디렉션됐다. 이때 공격자들은 일부러 악성 행위를 하지 않았으며, 광고를 소비하는 사용자들에게 의심을 없애려는 전략을 사용한다. 그 이후로는 광고의 내용이 바뀌면서 클릭 추적기 링크로 리디렉션되기 시작했다. 광고 링크에 클릭 추적기를 적용할 수 있는 것은 구글 광고의 알려진 취약점 중 하나로 공격자는 이를 악용해 사용자 트래픽을 원하는 도메인으로 보낼 수 있다.
결국 슬랙 악성 광고의 최종 도착 주소는 다른 인터넷 사이트로 변경됐는데, 이는 광고 캠페인이 발견된 날로부터 불과 일주일 전에 급조된 도메인이었다. 이 최종 URL에 도착한 사용자는 다운로드 버튼을 클릭할 때 공격자가 심어 놓은 악성 파일을 다운로드하게 된다.
▲슬랙 멀버타이징 공격에 사용된 광고의 최종 도착 URL 화면[출처=Malwarebytes Labs]
슬랙 멀버타이징 공격에서 발견된 침해지표 분석
분석된 슬랙 멀버타이징 공격 사례에서 발견된 침해지표(IoC)는 리디렉션 링크, 클로킹 도메인, 위장 사이트, 악성 파일 다운로드 도메인, 악성 파일 해시(SHA256) 등 다양했다. 이번 보고서에 언급된 IP 주소는 SecTopRAT이라는 원격 제어 트로이 목마가 사용한 서버였으며, 원격 연결 및 데이터 탈취 기능을 갖춘 것으로 알려졌다.
각 도메인의 역할을 살펴보면 ‘리디렉션 링크’는 사용자가 클릭했을 때 첫 번째 리디렉션을 담당하며, 그 이후 다른 리디렉션 층으로 연결된다. ‘클로킹 도메인’은 특정 조건에서만 악성 페이지를 사용자에게 보여준다. 위장 사이트는 디코이 사이트로 정상적인 콘텐츠를 보여주면서 공격자의 악성 페이지로의 변환 가능성을 숨긴다. 악성파일 다운로드 도메인은 최종으로 악성코드를 다운로드하는 역할을 한다.
멀버타이징 공격자의 주요 목표는 대부분 악성코드의 배포이며, 이를 통해 원격 제어 및 데이터 탈취를 수행하는데 있다. 보고서에 따르면 슬랙을 노린 멀버타이저는 구글 광고 플랫폼을 활용해 불특정 다수의 사용자를 대상으로 악성코드를 퍼뜨리고 있다.
에이아이스페라 분석팀은 “이 같은 멀버타이징 공격에 효과적으로 대응하기 위해서는 악성 도메인 및 IP 주소를 빠르게 파악해 차단하고, 광고 시스템의 취약점을 보완하는 것”이라며 “이러한 공격 사례는 멀버타이징의 위험성을 다시 한번 부각시키고 기업과 보안 전문가들은 지속적인 감시와 분석을 통해 새로운 위협에 대해 빠르게 대응할 필요가 있다”고 강조했다. 또한 “사용자들도 인터넷 창에 보이는 광고들을 클릭할 때는 항상 주의하고 의심스러운 링크로의 접속을 자제하는 것이 필요하다”고 덧붙였다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>