Home > 전체기사
또 클라우드 통한 공격! 이번에는 MS의 원노트 앱
  |  입력 : 2020-03-05 18:07
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
MS의 유명 필기 및 노트 앱...피해자 시스템에 에이전트 테슬라 심어
각종 템플릿을 쉽게 바꿔가며 공격...원노트의 사용성이 공격자에게 이로워


[보안뉴스 문가용 기자] 마이크로소프트의 메모장 겸 노트 필기 앱인 원노트(OneNote)를 활용한 피싱 캠페인이 발견됐다. 공격자들은 원노트를 사용해 탐지 도구들을 회피하여 멀웨어를 떨구고 있다고 한다. 현재 공격자들은 원노트로 크리덴셜을 훔치는 데 활용되는 키로거인 에이전트 테슬라(Agent Tesla)를 주로 심고 있는데, 간혹 피싱 페이지로 연결시키는 공격도 발견되고 있다.

[이미지 = iclickart]


“원노트는 사용이 매우 간편하고 접근성도 뛰어납니다. 이 때문에 공격자들은 피싱 공격 테마를 이리 저리 바꿔가면서 마음껏 실험을 진행할 수 있게 됩니다.” 이 캠페인을 발견한 보안 업체 코펜스가 자사 블로그를 통해 분석 보고서를 발표하며 설명한 내용이다. “실험이 쉽고 잦아지니 당연히 공격 성공률은 올라가겠죠.”

코펜스가 제일 먼저 발견한 건 공격자들이 마케팅 매니저로 위장하여 인보이스를 보내는 스팸 메일 공격이었다. 메일에는 인보이스로 넘어가는 링크가 첨부되어 있었는데, 이 링크는 사실 tiny.cc로 가는 링크고, 클릭할 경우 공격자들이 준비한 원노트 문서가 다운로드 된다. 코펜스가 관찰한 바에 따르면 공격자들은 지난 2주 동안 네 개의 원노트 템플릿을 바꿔가면서 크리덴셜 피싱 포털 링크나 멀웨어 샘플을 피해자에게 전달했다고 한다.

“초기 템플릿은 두 개의 URL을 보내는 기능을 가지고 있었어요. 하나는 오피스 365 크리덴셜을 탈취하기 위한 피싱 페이지의 URL이었고, 다른 하나는 멀웨어를 다운로드 받는 피싱 페이지의 URL입니다.”

사용자들의 클릭을 유발하는 방법도 가지가지였다. 거래가 성공적으로 완료되었다며 자세한 내역을 보라면 클릭하라는 것도 있었고, 원드라이브와의 싱크가 맞지 않으니 다시 한 번 로그인을 하라는 내용도 있다. 전자는 클릭할 경우 멀웨어가 다운로드 됐고, 후자는 로그인을 하면 크리덴셜을 공격자들이 채갔다.

이런 식으로 다운로드 되는 멀웨어는 주로 1단계 다운로드용 멀웨어였다. 이 멀웨어는 설치된 이후 암호화 된 바이너리를 추가로 다운로드 받는 역할을 수행한다. 이 추가 바이너리가 바로 에이전트 테슬라로, 다운로드가 성공적으로 이뤄지면 메모리 내에서 실행된다. 에이전트 테슬라는 로그인 정보와 키스트로크를 빼앗아 가는 것으로 유명한 멀웨어다.

그렇다면 공격자들이 원노트를 사용함으로써 얻는 이득은 구체적으로 무엇일까? 코펜스는 이 부분에 대해 다음과 같이 설명한다. “여러 가지 템플릿을 바꿔가며 공격하는 게 쉽습니다. 따라서 다양한 테마를 적용해 피해자를 꾀어낼 수 있게 됩니다. 또 기존의 보안 장치들로는 원노트로 들어오는 위협들을 탐지하는 게 쉽지 않기도 합니다. 원노트에 대한 방어 대책이 빨리 나오지 않는다면, 앞으로 이것이 새로운 피싱 공격의 통로가 될 수도 있습니다.”

원노트의 또 다른 특징은 원드라이브라는 클라우드 서비스에 호스팅 되어 있다는 것이다. 사이버 범죄자들은 다양한 클라우드 서비스에 자신들의 멀웨어나 피싱 페이지를 호스팅 하는 기법을 최근 활용 중에 있다. 마이크로소프트의 오피스 365, 원드라이브, 박스, 드롭박스, 구글 드라이브 등이 특히 이런 식으로 활용되고 있다. 유명 클라우드 서비스는 사람들의 신뢰를 받고 있기 때문에, 클릭 등을 유도하기가 훨씬 쉽다는 점을 이용하는 것이다.

“또한 클라우드 서비스는 계정을 만드는 것도 어렵지 않아 한 계정이 차단된다고 해도 계속해서 공격을 이어갈 수 있다는 장점이 있습니다. 그렇기 때문에 클라우드를 활용하는 공격이 현재 활발히 개발되고 있는 것이지요.” 코펜스의 설명이다.

이는 클라우드 서비스 제공업체들의 노력으로 다뤄야 할 부분이다. 코펜스에 따르면 다행히도 클라우드 서비스 업체들의 악성 행위 탐지 및 처리 능력은 계속해서 좋아지고 있다고 한다. “구글의 경우 ‘구글 양식을 통해 비밀번호를 전송하거나 공유하는 행위를 절대 하지 마시오’라는 경고문을 구글 양식 밑 부분에 항상 노출시키고 있습니다.”

3줄 요약
1. 마이크로소프트의 원노트를 통한 피싱 공격 진행되고 있음.
2. 원노트는 사용이 쉽고 간편해 공격자가 여러 가지 실험을 용이하게 진행할 수 있음.
3. 클라우드 서비스 통한 해커들의 공격, 갈수록 심해지고 있는 상황.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)