[보안뉴스 강현주 기자] 공격자들이 보안 탐지를 회피하기 위해 마이크로소프트(MS)의 협업 플랫폼 ‘MS 팀즈’(Teams)를 무기화한 사이버 공격 캠페인이 포착됐다.
보안 기업 시만텍(Symantec) 위협 헌터 팀에 따르면, 랜섬웨어 조직 ‘드래곤포스’(DragonForce)는 신종 백도어 ‘백도어.턴’(Backdoor.TURN)을 사용해 MS 팀즈의 턴 릴레이 서버를 장악했다. 이를 통해 명령 및 제어(C2) 통신을 정상적인 기업 내부 활동처럼 위장했으며, 미국의 한 주요 서비스 기업을 공격하며 최대 2개월 동안 탐지를 회피했다.
[출처: 마이크로소프트]
기존 악성코드가 외부 C2 서버와 직접 통신해 발각됐던 것과 달리, 이번 백도어는 MS 자체 서버를 통해 트래픽을 우회시켰다. MS 스카이프 지원 서비스에서 익명 방문자 토큰을 받아 팀즈 인프라 인증을 거친 뒤 퀵(QUIC) 세션을 시작하는 방식이다. 이 때문에 네트워크 방어자들에게는 일반적인 MS 팀즈 서비스로 향하는 정상 연결로만 표시됐다. MS 팀즈 릴레이 인프라가 실제 공격에 악용된 사례는 이번이 처음이다.
2025년 12월 시작된 이번 침입은 SQL 서버 취약점 등을 통해 이뤄진 것으로 추정된다. 공격자들은 정상 실행 파일과 무기화된 동적 링크 라이브러리(DLL)을 배포해 ‘DLL 사이드로딩’ 기법으로 숨겨진 지속성을 확보했다. 이후 내부 정찰, 자격 증명 수집, 방화벽 규칙 수정 등을 수행하며 장기 접근 권한을 굳혔다. 이 과정에서 이들은 해킹 포럼 등에서 획득한 초기 접근 권한(IAB)을 활용해 네트워크 깊숙이 침투한 것으로 분석된다.
공격자들은 시스템 장악 후 보안 모니터링을 우회하기 위해 추가적인 사용자 계정을 임의로 생성하고, 탐지 시스템의 알람을 무력화하도록 방화벽 규칙과 내부 설정을 치밀하게 조정했다. 이는 초기 침투에 성공한 이후에도 보안 관리자에게 발각되지 않고, 끊김 없는 C2 통신 환경을 구축해 장기적으로 데이터를 탈취하거나 추가 페이로드를 심기 위한 고도의 복원력 확보 전략으로 풀이된다.
특히 보안 도구를 무력화하기 위해 취약한 드라이버를 악용하는 ‘BYOVD’ 기법을 적극 활용했다. 화웨이 오디오 드라이버를 비롯해 팔로알토 드라이버로 위장한 맞춤형 악성 드라이버 ‘어비스 워커’(Abyss Worker) 등을 배포해 보안 프로세스를 강제 종료했다. 최종 페이로드는 랜섬웨어 실행 후 정상 프로세스(DbgView64.exe)에 주입됐다. 전문가들은 이 백도어가 향후 타 위협 행위자에게 접근 권한을 재판매하기 위한 목적으로 남겨졌을 가능성도 제기하고 있다.
시만텍 관계자는 “악성 트래픽을 합법적인 클라우드 서비스와 혼합하는 방식은 방어자의 가시성을 크게 떨어뜨린다”며 “IP나 도메인 신뢰도에 의존하는 방어를 넘어 엔드포인트 내의 행동 기반 탐지를 강화해야 한다”고 강조했다.
기업들이 신뢰하는 협업 툴의 아웃바운드 연결에 대해서도 보다 엄격한 모니터링과 통제 정책이 시급하다는 설명이다.
이에 따라 보안 전문가들은 기업 내부 네트워크에서 발생하는 화이트리스트 기반의 트래픽이라 할지라도 이상 징후가 없는지 교차 검증하는 제로트러스트 관점의 접근이 필요하다. 특히 대다수 기업이 무조건적으로 신뢰하는 대형 서비스형 소프트웨어(SaaS) 및 협업 플랫폼의 세션 수립 과정을 정밀 분석할 수 있는 차세대 네트워크 보안 체계 마련이 시급한 과제로 떠오르고 있다.
[강현주 기자(jjoo@boannews.com)]
보안 기업 시만텍(Symantec) 위협 헌터 팀에 따르면, 랜섬웨어 조직 ‘드래곤포스’(DragonForce)는 신종 백도어 ‘백도어.턴’(Backdoor.TURN)을 사용해 MS 팀즈의 턴 릴레이 서버를 장악했다. 이를 통해 명령 및 제어(C2) 통신을 정상적인 기업 내부 활동처럼 위장했으며, 미국의 한 주요 서비스 기업을 공격하며 최대 2개월 동안 탐지를 회피했다.
[출처: 마이크로소프트]
기존 악성코드가 외부 C2 서버와 직접 통신해 발각됐던 것과 달리, 이번 백도어는 MS 자체 서버를 통해 트래픽을 우회시켰다. MS 스카이프 지원 서비스에서 익명 방문자 토큰을 받아 팀즈 인프라 인증을 거친 뒤 퀵(QUIC) 세션을 시작하는 방식이다. 이 때문에 네트워크 방어자들에게는 일반적인 MS 팀즈 서비스로 향하는 정상 연결로만 표시됐다. MS 팀즈 릴레이 인프라가 실제 공격에 악용된 사례는 이번이 처음이다.
2025년 12월 시작된 이번 침입은 SQL 서버 취약점 등을 통해 이뤄진 것으로 추정된다. 공격자들은 정상 실행 파일과 무기화된 동적 링크 라이브러리(DLL)을 배포해 ‘DLL 사이드로딩’ 기법으로 숨겨진 지속성을 확보했다. 이후 내부 정찰, 자격 증명 수집, 방화벽 규칙 수정 등을 수행하며 장기 접근 권한을 굳혔다. 이 과정에서 이들은 해킹 포럼 등에서 획득한 초기 접근 권한(IAB)을 활용해 네트워크 깊숙이 침투한 것으로 분석된다.
공격자들은 시스템 장악 후 보안 모니터링을 우회하기 위해 추가적인 사용자 계정을 임의로 생성하고, 탐지 시스템의 알람을 무력화하도록 방화벽 규칙과 내부 설정을 치밀하게 조정했다. 이는 초기 침투에 성공한 이후에도 보안 관리자에게 발각되지 않고, 끊김 없는 C2 통신 환경을 구축해 장기적으로 데이터를 탈취하거나 추가 페이로드를 심기 위한 고도의 복원력 확보 전략으로 풀이된다.
특히 보안 도구를 무력화하기 위해 취약한 드라이버를 악용하는 ‘BYOVD’ 기법을 적극 활용했다. 화웨이 오디오 드라이버를 비롯해 팔로알토 드라이버로 위장한 맞춤형 악성 드라이버 ‘어비스 워커’(Abyss Worker) 등을 배포해 보안 프로세스를 강제 종료했다. 최종 페이로드는 랜섬웨어 실행 후 정상 프로세스(DbgView64.exe)에 주입됐다. 전문가들은 이 백도어가 향후 타 위협 행위자에게 접근 권한을 재판매하기 위한 목적으로 남겨졌을 가능성도 제기하고 있다.
시만텍 관계자는 “악성 트래픽을 합법적인 클라우드 서비스와 혼합하는 방식은 방어자의 가시성을 크게 떨어뜨린다”며 “IP나 도메인 신뢰도에 의존하는 방어를 넘어 엔드포인트 내의 행동 기반 탐지를 강화해야 한다”고 강조했다.
기업들이 신뢰하는 협업 툴의 아웃바운드 연결에 대해서도 보다 엄격한 모니터링과 통제 정책이 시급하다는 설명이다.
이에 따라 보안 전문가들은 기업 내부 네트워크에서 발생하는 화이트리스트 기반의 트래픽이라 할지라도 이상 징후가 없는지 교차 검증하는 제로트러스트 관점의 접근이 필요하다. 특히 대다수 기업이 무조건적으로 신뢰하는 대형 서비스형 소프트웨어(SaaS) 및 협업 플랫폼의 세션 수립 과정을 정밀 분석할 수 있는 차세대 네트워크 보안 체계 마련이 시급한 과제로 떠오르고 있다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.png)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.png){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
