클라우드 인프라와 고도화된 회피 기법 이용 ‘More Eggs’ 악성코드 유포
[보안뉴스 여이레 기자] 스켈레톤 스파이더(Skeletop Spider) 또는 핀6(FIN6)라는 이름으로 불리는 국제 해커 그룹이 구직자로 위장해 인사나 채용 담당자를 노린 사이버 공격을 벌이고 있다. 이들은 실제와 구분하기 어려운 가짜 이력서와 피싱 링크를 활용해 악성코드를 배포한다.
[자료: gettyimagesbank]
핀6는 금전적 목적으로 활동하는 사이버 범죄 조직으로 초기에는 판매시점관리 시스템(POS) 침해와 대규모 카드 결제 정보 절도로 악명을 떨쳤고, 이후 랜섬웨어 등 보다 광범위한 기업 대상 공격으로 영역을 확대했다.
사이버 보안 기업 도메인툴즈의 최근 보고서에 따르면, 핀6는 최근 몇 년간 전문가에 대한 신뢰를 악용한 사회공학 기법 캠페인에 더욱 집중해 온 것으로 드러났다. 이들은 링크드인이나 인디드와 같은 플랫폼에서 구직자로 위장하고 채용 담당자와 대화를 시작해 신뢰를 쌓은 후 악성코드 ‘More Eggs’가 담긴 페이지로 연결되는 피싱 이메일을 전송한다.
More Eggs는 서비스로서의 멀웨어(MaaS) 방식의 자바스크립트 백도어로 자격 증명 도용이나 시스템 접근, 랜섬웨어 배포 등에 쓰인다.
이들은 포트폴리오 페이지로 위장한 악성코드 유포 페이지 URL에서 하이퍼링크를 제거해 이메일에 적었다. 이를 통해 악성 코드를 탐지해 차단하는 보안 솔루션을 우회했다. 수신자는 URL 주소를 직접 입력해야 한다.
도메인 이름으로는 bobbyweisman[.]com, kimberlykamara[.]com, malenebutler[.]com 등과 같이 실제 신청자의 이름과 성을 조합한 패턴을 따른다. 세계 최대 웹 호스팅 서비스인 고대디(GoDaddy)에 익명으로 등록된 이들 도메인은 신뢰할 수 있는 클라우드 서비스인 AWS에서 호스팅돼 보안 도구의 탐지를 우회한다. AWS EC2 인스턴스나 S3 호스팅 사이트에 매핑돼 있어 합법적 개인 또는 비즈니스 호스팅과 구분하기 어렵다.
핀6는 위협 탐지 및 분석을 피하고 확실하게 멀웨어를 채용 담당자 기기에 심기 위해 환경 지문 수집(Environmental fingerprinting), 행동 검사(behavioral checks), 가짜 캡차와 같은 단계적 인증 절차를 거치도록 설계했다.
채용 담당자가 VPN 서비스나 AWS와 같은 클라우드 인프라, 기업 보안 스캐너를 통해 접속한 경우엔 무해한 일반 텍스트 버전 이력서를 전송힌다.
실제 랜딩 페이지 캡차(CAPTCHA) 단계 [자료=도메인툴즈]
그렇지 않은 경우엔 이력서로 위장한 ZIP 압축 파일 다운로드를 시도한다. 실제 압축 파일에는 ‘More Eggs’ 백도어 다운로드를 위한 스크립트를 실행하는 위장된 윈도우즈 바로가기 파일(LNK)이 담겨있다.
도메인툴즈는 “이 캠페인은 복잡도가 낮은 피싱 캠페인이라도 클라우드 인프라와 고도화된 회피 기법과 결합해 효과를 높일 수 있음을 보여준다”며 “피해 예방을 위해 기업 보안팀과 인사부서의 교육, 다층적 방어 체계 구축, 비정상적 트래픽 파일이나 파일 유형의 조기 탐지가 중요하다”고 밝혔다.
[여이레 기자(gore@boannews.com)]
[보안뉴스 여이레 기자] 스켈레톤 스파이더(Skeletop Spider) 또는 핀6(FIN6)라는 이름으로 불리는 국제 해커 그룹이 구직자로 위장해 인사나 채용 담당자를 노린 사이버 공격을 벌이고 있다. 이들은 실제와 구분하기 어려운 가짜 이력서와 피싱 링크를 활용해 악성코드를 배포한다.
[자료: gettyimagesbank]
핀6는 금전적 목적으로 활동하는 사이버 범죄 조직으로 초기에는 판매시점관리 시스템(POS) 침해와 대규모 카드 결제 정보 절도로 악명을 떨쳤고, 이후 랜섬웨어 등 보다 광범위한 기업 대상 공격으로 영역을 확대했다.
사이버 보안 기업 도메인툴즈의 최근 보고서에 따르면, 핀6는 최근 몇 년간 전문가에 대한 신뢰를 악용한 사회공학 기법 캠페인에 더욱 집중해 온 것으로 드러났다. 이들은 링크드인이나 인디드와 같은 플랫폼에서 구직자로 위장하고 채용 담당자와 대화를 시작해 신뢰를 쌓은 후 악성코드 ‘More Eggs’가 담긴 페이지로 연결되는 피싱 이메일을 전송한다.
More Eggs는 서비스로서의 멀웨어(MaaS) 방식의 자바스크립트 백도어로 자격 증명 도용이나 시스템 접근, 랜섬웨어 배포 등에 쓰인다.
이들은 포트폴리오 페이지로 위장한 악성코드 유포 페이지 URL에서 하이퍼링크를 제거해 이메일에 적었다. 이를 통해 악성 코드를 탐지해 차단하는 보안 솔루션을 우회했다. 수신자는 URL 주소를 직접 입력해야 한다.
도메인 이름으로는 bobbyweisman[.]com, kimberlykamara[.]com, malenebutler[.]com 등과 같이 실제 신청자의 이름과 성을 조합한 패턴을 따른다. 세계 최대 웹 호스팅 서비스인 고대디(GoDaddy)에 익명으로 등록된 이들 도메인은 신뢰할 수 있는 클라우드 서비스인 AWS에서 호스팅돼 보안 도구의 탐지를 우회한다. AWS EC2 인스턴스나 S3 호스팅 사이트에 매핑돼 있어 합법적 개인 또는 비즈니스 호스팅과 구분하기 어렵다.
핀6는 위협 탐지 및 분석을 피하고 확실하게 멀웨어를 채용 담당자 기기에 심기 위해 환경 지문 수집(Environmental fingerprinting), 행동 검사(behavioral checks), 가짜 캡차와 같은 단계적 인증 절차를 거치도록 설계했다.
채용 담당자가 VPN 서비스나 AWS와 같은 클라우드 인프라, 기업 보안 스캐너를 통해 접속한 경우엔 무해한 일반 텍스트 버전 이력서를 전송힌다.
실제 랜딩 페이지 캡차(CAPTCHA) 단계 [자료=도메인툴즈]
그렇지 않은 경우엔 이력서로 위장한 ZIP 압축 파일 다운로드를 시도한다. 실제 압축 파일에는 ‘More Eggs’ 백도어 다운로드를 위한 스크립트를 실행하는 위장된 윈도우즈 바로가기 파일(LNK)이 담겨있다.
도메인툴즈는 “이 캠페인은 복잡도가 낮은 피싱 캠페인이라도 클라우드 인프라와 고도화된 회피 기법과 결합해 효과를 높일 수 있음을 보여준다”며 “피해 예방을 위해 기업 보안팀과 인사부서의 교육, 다층적 방어 체계 구축, 비정상적 트래픽 파일이나 파일 유형의 조기 탐지가 중요하다”고 밝혔다.
[여이레 기자(gore@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
