도무지 그 동기를 알 수 없는 공격 행위가 있다. 보안 업체가 이를 파악하고자 수개월을 추적하고 분석했다. 하지만 수수께끼를 풀 수는 없었다. 그럼에도 지난 수개월이 버려진 세월은 아니었다고 한다.
3줄 요약
1. 가짜를 진짜처럼 보이게 만드는 사이버 공격 기법인 ‘도메인 스푸핑’
2. 오래된 수법이라 대책도 여럿 존재하지만 여전히 인기 높은 ‘도메인 스푸핑’
3. 한 해킹 그룹의 뒤를 쫓았지만 잡지 못했고, 대신 도메인 스푸핑 트렌드를 얻음.
[보안뉴스 문가용 기자] 2024년 4월 30일, 보안뉴스에서는 머들링미어캣(Muddling Meerkat)이라는 이름의 공격 단체에 대해 짤막하게 보도한 적이 있다. 이들은 2019년 10월부터 세계 DNS를 조작해 왔는데, 2023년 9월부터 갑자기 활동량을 급격히 늘려 이목을 끌었었다. 이를 처음 세상에 알린 건 보안 업체 인포블록스(Infoblox)였는데, 당시에는 머들링미어켓이 그런 공격을 꾸준히 시도하는 이유를 명확히 알 수 없었다고 밝혔다. 인포블록스는 추적을 거기서 끝내지 않고 최근까지도 연구와 조사를 이어왔고, 이번에 새로운 내용의 보고서를 발표했다.
[이미지 = gettyimagesbank]
결과부터 말하자면 “상당한 시간을 투자했지만 머들링미어캣의 공격 목적을 알아내는 데에 실패했다”고 한다. 그러나 “실패”로 귀결 짓고 모든 노력을 허사로 돌리기에는 아까웠고, 그래서 현재까지 알아낸 것만이라도 공개한다고 밝혔다. “실패한 결과물이긴 하지만, 그러한 결과물이라도 공유함으로써 누군가 머들링미어캣의 정체와 목적에 대해 밝혀낼 수 있다면 괜찮지 않을까 하는 생각입니다. 그것이 아니더라도 현대의 공격자들이 도메인 스푸핑이라는 기법을 어떤 식으로 활용하고 있는지 배울 수 있었다는 점에서도 의의를 찾을 수 있다고 봅니다.”
실제로 인포블록스는 추적을 진행하면서 도메인 스푸핑이 얼마나 광범위하게 활용되고 있는지를 충격적으로 깨달았다고 한다. “오늘 날의 보안 업계는 스푸핑으로부터 사용자들을 보호하기 위한 여러 가지 기술과 경험들을 갖추고 있습니다. 도메인 스푸핑이란 게 그렇게까지 위협적으로 느껴지지 않을 정도지요. 이것은 사실입니다. 그러나 그것만으로 공격자들을 포기하게 만들지는 못하고 있었습니다. 공격자들은 여전히 놀라운 빈도로 도메인 스푸핑을 사용하고 있었고, 그것을 다양하게 응용할 줄도 알고 있었습니다.”
사례 1 : 큐알코드를 이용한 피싱 캠페인
인포블록스가 관찰하게 된 한 대형 공격 그룹은 최소 2022년 말부터 지속적으로 도메인 스푸핑 공격을 실시하고 있었다고 한다. 공격 대상은 중국과 그 주변 국가들에 거주하고 있는 사람들 혹은 단체들이었다. 또한 이 캠페인에 활용된 도메인들은 대부분 스푸핑 공격에 당한 것들이었다. 인포블록스가 소유한 도메인도 있었고, 머들링미어캣이 활용한 것으로 확인된 도메인들도 있었다. 머들링미어캣의 목적은 피싱 공격인 것일까?
“이 공격의 배후 세력이 머들링미어캣일 가능성이 ‘제로’는 아닙니다만 그리 높은 것도 아닙니다. 차라리 일반적인 ‘서비스형 피싱(PhaaS)’을 운영하는 자들일 확률이 높아 보입니다. 머들링미어캣과 도메인이 어느 정도 겹치긴 하지만, 그것 뿐입니다. 겹치지 않는 도메인이 훨씬 많습니다. 오히려 머들링미어캣으로 시선을 돌리기 위해 일부 같은 도메인을 노렸을 공산이 큽니다. 이 큐알코드 피싱 메일들은 일부 보안 솔루션을 우회해 피해를 일으키고 있습니다.”
사례 2 : 일본에서의 피싱 캠페인
첫 번째 사례에서 머들링미어캣을 확실히 잡아내지 못한 인포블록스는 계속해서 조사를 이어가다가 인포블록스의 DNS 서버에서 메일과 관련된 쿼리들 중 세 글자로 된 호스트 이름의 비율이 비정상적으로 높다는 사실을 깨달았다고 한다. “이 세 글자 호스트 이름의 쿼리가 머들링미어캣이 생성한 것인지, 아니면 다른 악성 행위의 결과인지 알아내야 했고, 그 과정에서 비슷한 쿼리 구조를 가진 스팸 공격의 흔적들이 발견되기 시작했습니다.”
그러면서 일본의 사용자들을 대상으로 한 피싱 캠페인이 진행되고 있다는 사실을 알아낼 수 있었다고 한다. 앞서 설명된 캠페인과 마찬가지로 이번 ‘일본인 대상 공격’에서도 공격자들은 인포블록스가 소유한 도메인은 물론, 머들링미어캣의 것과 겹치는 도메인들을 스푸핑했다고 한다. “어떤 도메인으로부터 발송됐든 피싱 메일의 공통적인 목적은 로그인을 유도함으로써 크리덴셜을 훔치는 것이었습니다.”
하지만 “(머들링미어캣의 그것과) 겹치는 도메인의 수가 너무 적어서 분명하게 결론을 내릴 수가 없었다”고 한다. 그래서 인포블록스는 더 많은 사례들을 찾기 위해 다른 도메인 스푸핑 및 스팸 공격을 조사하기 시작했다.
사례 3 : 전형적인 협박 공격
그러다가 아주 익숙한 형태의 악성 캠페인을 하나 더 발견할 수 있었다. “사용자의 장비를 해킹했으며, 이를 통해 아주 민감하고 은밀한 활동을 녹화해두었다고 협박하는 캠페인이었습니다. 이는 수년 전부터 널리 사용되어 온 수법이기도 합니다. 여기에 걸려드는 사람들 중 적잖은 이들이 자살로 삶을 마감하기도 할 정도로 악질적인 방법이죠.”
그런데 인포블록스가 발견한 이 ‘익숙한 캠페인’에서도 스푸핑 된 도메인이 사용된다는 걸 알 수 있었다고 한다. 이 공격이 머들링미어캣의 소행이었을까? 안타깝지만 인포블록스는 이 경우에서도 확실한 증거를 찾지 못했다고 한다. “오히려 오래된 스팸 봇을 통해 진행된 공격일 가능성이 높습니다. 인터넷 공간에 떠돌아다니는, 지금은 주인이 없어 버려지다시피 한 스팸 봇의 행동 패턴과 상당히 비슷해 보입니다.”
사례 4 : 아직 수수께끼로 남아 있는 악성 스팸
마지막으로 인포블록스는 활발히 진행되고 있는 또 다른 스팸 캠페인에 대한 정보를 공유했다. “이 캠페인의 진행자 역시 스푸핑된 발신자 도메인을 사용하고 있었습니다. 평범해 보이는 엑셀 스프레드시트를 첨부하고 있는 메일들이 흩뿌려지고 있었는데, 이 엑셀 파일들의 정체가 무엇인지, 어떤 기능을 가지고 있는지, 아직 알 수가 없습니다. 따라서 이런 이메일을 살포하는 이유도 지금까지 수수께끼로 남아 있습니다. 일부 도메인이 머들링미어캣의 그것과 겹치긴 했습니다.”
하지만 이 캠페인과 머들링미어캣을 연관 지을 수는 없었다. 캠페인 자체가 수수께끼였기 때문이다. “이 캠페인의 정체는 ‘한 중국 화물 업체의 운임표가 계속 살포되는 것’일 뿐입니다. 화물 운임표를 도메인 스푸핑을 해가면서까지 뿌리는 이유는 알 수 없습니다. 계속해서 DNS를 조작하고, 도메인을 스푸핑하지만 그런 것들을 실제 공격에 활용하지 않고 있는 머들링미어캣과 비슷합니다. 둘 다 동기를 알 수 없다는 점에서만 공통점이 있지 그 외에는 서로 같은 배후 세력을 가지고 있다고 결론을 내릴 만한 점들이 없습니다.”
그래서?
그렇다고 이 추적과 조사가 실패이기만 한 것일까? 인포블록스는 그렇지 않다고 분명하게 말한다. “머들링미어캣이 어떤 목적으로 그런 행위를 하는지 알아내지 못한 건 사실입니다. 하지만 저희의 조사가 열매를 맺지 못한 건 아닙니다. 악성 스팸에서 가짜 도메인이 어떤 식으로 사용되는지, 현대 공격자들 사이에 형성된 트렌드를 깊이 있게 파악할 수 있었고, 이를 통해 더 나은 보안 방법론과 기술을 개발할 수 있었습니다. 원래의 목적을 이루지 못한다 하더라도 과정 속에서 더 가치 있는 것들을 발견할 수 있다는 걸 보안 업계 종사자들에게 알려주고 싶었습니다.”
도메인 스푸핑의 기본적인 이유와 선호되는 도메인들, 인포블록스가 조사를 통해 발견한 네 가지 사례들의 보다 깊이 있는 내용은 이번 주 16일에 발행되는 프리미엄 리포트를 통해 공개됩니다.
[국제부 문가용 기자(globoan@boannews.com)]
3줄 요약
1. 가짜를 진짜처럼 보이게 만드는 사이버 공격 기법인 ‘도메인 스푸핑’
2. 오래된 수법이라 대책도 여럿 존재하지만 여전히 인기 높은 ‘도메인 스푸핑’
3. 한 해킹 그룹의 뒤를 쫓았지만 잡지 못했고, 대신 도메인 스푸핑 트렌드를 얻음.
[보안뉴스 문가용 기자] 2024년 4월 30일, 보안뉴스에서는 머들링미어캣(Muddling Meerkat)이라는 이름의 공격 단체에 대해 짤막하게 보도한 적이 있다. 이들은 2019년 10월부터 세계 DNS를 조작해 왔는데, 2023년 9월부터 갑자기 활동량을 급격히 늘려 이목을 끌었었다. 이를 처음 세상에 알린 건 보안 업체 인포블록스(Infoblox)였는데, 당시에는 머들링미어켓이 그런 공격을 꾸준히 시도하는 이유를 명확히 알 수 없었다고 밝혔다. 인포블록스는 추적을 거기서 끝내지 않고 최근까지도 연구와 조사를 이어왔고, 이번에 새로운 내용의 보고서를 발표했다.
[이미지 = gettyimagesbank]
결과부터 말하자면 “상당한 시간을 투자했지만 머들링미어캣의 공격 목적을 알아내는 데에 실패했다”고 한다. 그러나 “실패”로 귀결 짓고 모든 노력을 허사로 돌리기에는 아까웠고, 그래서 현재까지 알아낸 것만이라도 공개한다고 밝혔다. “실패한 결과물이긴 하지만, 그러한 결과물이라도 공유함으로써 누군가 머들링미어캣의 정체와 목적에 대해 밝혀낼 수 있다면 괜찮지 않을까 하는 생각입니다. 그것이 아니더라도 현대의 공격자들이 도메인 스푸핑이라는 기법을 어떤 식으로 활용하고 있는지 배울 수 있었다는 점에서도 의의를 찾을 수 있다고 봅니다.”
실제로 인포블록스는 추적을 진행하면서 도메인 스푸핑이 얼마나 광범위하게 활용되고 있는지를 충격적으로 깨달았다고 한다. “오늘 날의 보안 업계는 스푸핑으로부터 사용자들을 보호하기 위한 여러 가지 기술과 경험들을 갖추고 있습니다. 도메인 스푸핑이란 게 그렇게까지 위협적으로 느껴지지 않을 정도지요. 이것은 사실입니다. 그러나 그것만으로 공격자들을 포기하게 만들지는 못하고 있었습니다. 공격자들은 여전히 놀라운 빈도로 도메인 스푸핑을 사용하고 있었고, 그것을 다양하게 응용할 줄도 알고 있었습니다.”
사례 1 : 큐알코드를 이용한 피싱 캠페인
인포블록스가 관찰하게 된 한 대형 공격 그룹은 최소 2022년 말부터 지속적으로 도메인 스푸핑 공격을 실시하고 있었다고 한다. 공격 대상은 중국과 그 주변 국가들에 거주하고 있는 사람들 혹은 단체들이었다. 또한 이 캠페인에 활용된 도메인들은 대부분 스푸핑 공격에 당한 것들이었다. 인포블록스가 소유한 도메인도 있었고, 머들링미어캣이 활용한 것으로 확인된 도메인들도 있었다. 머들링미어캣의 목적은 피싱 공격인 것일까?
“이 공격의 배후 세력이 머들링미어캣일 가능성이 ‘제로’는 아닙니다만 그리 높은 것도 아닙니다. 차라리 일반적인 ‘서비스형 피싱(PhaaS)’을 운영하는 자들일 확률이 높아 보입니다. 머들링미어캣과 도메인이 어느 정도 겹치긴 하지만, 그것 뿐입니다. 겹치지 않는 도메인이 훨씬 많습니다. 오히려 머들링미어캣으로 시선을 돌리기 위해 일부 같은 도메인을 노렸을 공산이 큽니다. 이 큐알코드 피싱 메일들은 일부 보안 솔루션을 우회해 피해를 일으키고 있습니다.”
사례 2 : 일본에서의 피싱 캠페인
첫 번째 사례에서 머들링미어캣을 확실히 잡아내지 못한 인포블록스는 계속해서 조사를 이어가다가 인포블록스의 DNS 서버에서 메일과 관련된 쿼리들 중 세 글자로 된 호스트 이름의 비율이 비정상적으로 높다는 사실을 깨달았다고 한다. “이 세 글자 호스트 이름의 쿼리가 머들링미어캣이 생성한 것인지, 아니면 다른 악성 행위의 결과인지 알아내야 했고, 그 과정에서 비슷한 쿼리 구조를 가진 스팸 공격의 흔적들이 발견되기 시작했습니다.”
그러면서 일본의 사용자들을 대상으로 한 피싱 캠페인이 진행되고 있다는 사실을 알아낼 수 있었다고 한다. 앞서 설명된 캠페인과 마찬가지로 이번 ‘일본인 대상 공격’에서도 공격자들은 인포블록스가 소유한 도메인은 물론, 머들링미어캣의 것과 겹치는 도메인들을 스푸핑했다고 한다. “어떤 도메인으로부터 발송됐든 피싱 메일의 공통적인 목적은 로그인을 유도함으로써 크리덴셜을 훔치는 것이었습니다.”
하지만 “(머들링미어캣의 그것과) 겹치는 도메인의 수가 너무 적어서 분명하게 결론을 내릴 수가 없었다”고 한다. 그래서 인포블록스는 더 많은 사례들을 찾기 위해 다른 도메인 스푸핑 및 스팸 공격을 조사하기 시작했다.
사례 3 : 전형적인 협박 공격
그러다가 아주 익숙한 형태의 악성 캠페인을 하나 더 발견할 수 있었다. “사용자의 장비를 해킹했으며, 이를 통해 아주 민감하고 은밀한 활동을 녹화해두었다고 협박하는 캠페인이었습니다. 이는 수년 전부터 널리 사용되어 온 수법이기도 합니다. 여기에 걸려드는 사람들 중 적잖은 이들이 자살로 삶을 마감하기도 할 정도로 악질적인 방법이죠.”
그런데 인포블록스가 발견한 이 ‘익숙한 캠페인’에서도 스푸핑 된 도메인이 사용된다는 걸 알 수 있었다고 한다. 이 공격이 머들링미어캣의 소행이었을까? 안타깝지만 인포블록스는 이 경우에서도 확실한 증거를 찾지 못했다고 한다. “오히려 오래된 스팸 봇을 통해 진행된 공격일 가능성이 높습니다. 인터넷 공간에 떠돌아다니는, 지금은 주인이 없어 버려지다시피 한 스팸 봇의 행동 패턴과 상당히 비슷해 보입니다.”
사례 4 : 아직 수수께끼로 남아 있는 악성 스팸
마지막으로 인포블록스는 활발히 진행되고 있는 또 다른 스팸 캠페인에 대한 정보를 공유했다. “이 캠페인의 진행자 역시 스푸핑된 발신자 도메인을 사용하고 있었습니다. 평범해 보이는 엑셀 스프레드시트를 첨부하고 있는 메일들이 흩뿌려지고 있었는데, 이 엑셀 파일들의 정체가 무엇인지, 어떤 기능을 가지고 있는지, 아직 알 수가 없습니다. 따라서 이런 이메일을 살포하는 이유도 지금까지 수수께끼로 남아 있습니다. 일부 도메인이 머들링미어캣의 그것과 겹치긴 했습니다.”
하지만 이 캠페인과 머들링미어캣을 연관 지을 수는 없었다. 캠페인 자체가 수수께끼였기 때문이다. “이 캠페인의 정체는 ‘한 중국 화물 업체의 운임표가 계속 살포되는 것’일 뿐입니다. 화물 운임표를 도메인 스푸핑을 해가면서까지 뿌리는 이유는 알 수 없습니다. 계속해서 DNS를 조작하고, 도메인을 스푸핑하지만 그런 것들을 실제 공격에 활용하지 않고 있는 머들링미어캣과 비슷합니다. 둘 다 동기를 알 수 없다는 점에서만 공통점이 있지 그 외에는 서로 같은 배후 세력을 가지고 있다고 결론을 내릴 만한 점들이 없습니다.”
그래서?
그렇다고 이 추적과 조사가 실패이기만 한 것일까? 인포블록스는 그렇지 않다고 분명하게 말한다. “머들링미어캣이 어떤 목적으로 그런 행위를 하는지 알아내지 못한 건 사실입니다. 하지만 저희의 조사가 열매를 맺지 못한 건 아닙니다. 악성 스팸에서 가짜 도메인이 어떤 식으로 사용되는지, 현대 공격자들 사이에 형성된 트렌드를 깊이 있게 파악할 수 있었고, 이를 통해 더 나은 보안 방법론과 기술을 개발할 수 있었습니다. 원래의 목적을 이루지 못한다 하더라도 과정 속에서 더 가치 있는 것들을 발견할 수 있다는 걸 보안 업계 종사자들에게 알려주고 싶었습니다.”
도메인 스푸핑의 기본적인 이유와 선호되는 도메인들, 인포블록스가 조사를 통해 발견한 네 가지 사례들의 보다 깊이 있는 내용은 이번 주 16일에 발행되는 프리미엄 리포트를 통해 공개됩니다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
