Home > 전체기사

아닌 척 하며 구름 속에 모습 감춰온 대규모 BEC 캠페인 적발돼

  |  입력 : 2021-06-16 14:59
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
세상이 모두 랜섬웨어를 외칠 때, 한 길만 고집하는 외골수들이 있다. BEC 장인들이다. 이들은 요즘 어떻게 지낼까? 클라우드를 여러 가지로 실험하면서 적응하는 중이다. 클라우드로 공격을 자동화 하고, 클라우드로 자신들의 모습을 조금 더 교묘하게 감추는 법을 터득하고 있다.

[보안뉴스 문가용 기자] 마이크로소프트(Microsoft)가 대규모 BEC 공격 인프라를 폐쇄시켰다. 공격자들은 탐지를 피하기 위해 다양한 웹 서비스들에 걸쳐 중요 요소들을 호스팅하고 있었다고 한다. 이러한 성과는 최근 랜섬웨어에 과도히 집중된 보안 업계에, ‘또 다른 위협도 존재한다’는 것을 상기시키기도 한다.

[이미지 = utoimage]


BEC 공격은 2020년 한 해 동안에만 18억 달러의 피해를 일으킨 사이버 범죄 유형이다. 같은 해 사이버 범죄의 전체 피해량은 41억 달러였다. BEC 공격은 랜섬웨어처럼 떠들썩하게 매체의 관심을 받지는 못하지만 결코 무시할 수 없는 위협이다. 그러나 간과되는 것이 보통이고, 그 때문에 엄청난 위력을 발휘하는 것이라고 MS는 설명한다.

“이번에 적발된 BEC 캠페인의 경우 공격자들은 다른 IP를 겨냥해, 다른 시간대에 각종 악성 행위를 실시했습니다. 그래서 분석가들을 이들을 하나의 캠페인으로 엮어서 분석하기가 쉽지 않았습니다. 즉 BEC의 강점인 은밀함에 더 힘을 준 것이죠.” MS의 설명이다.

공격자들은 제일 먼저 피싱 공격을 통해 피해자의 크리덴셜을 훔쳐냈다. 그리고 이를 가지고 피해자의 이메일에 접속했고, 전달 규칙을 새롭게 적용시켜 금전 거래와 관련된 모든 이메일이 자신들에게 전달되도록 만들었다. MS가 조사했을 때 이러한 전달 규칙이 새로 설정된 모든 메일함들에서 이들의 피싱 메일을 발견할 수 있었다. 대부분 HTML 첨부파일이 함께 있었다고 한다. 외부 클라우드 사업자의 주소 공간에서부터 발송된 메일들이었다.

문제의 HTML 파일에는 자바스크립트가 포함되어 있었다. 마이크로소프트의 정상 로그인 창과 똑같이 생긴 페이지를 생성하는 기능을 가지고 있는 스크립트였다. 심지어 사용자의 ID가 입력란에 미리 기입되어 있기도 했다. 따라서 피해자들은 의심하기가 힘들었고, 비밀번호를 입력했다. 당연히 이 정보는 또 다른 외부 클라우드 사업체에 호스팅되어 있는 공격자의 인프라로 넘어갔다.

MS는 수많은 기업들의 메일함에서 이와 같은 공격의 흔적을 발견할 수 있었다고 한다. invoice나 payment, statement와 같은 단어가 사용된 이메일들은 전부 공격자들에게로 전달되고 있었다. 심지어 한 번 전달된 메일들은 피해자의 메일함에서 삭제되도록 설정되어 있기도 했다.

이번 캠페인의 주요한 특징은 공격자들의 광범위한 클라우드 활용이라고 MS는 짚는다. 클라우드 기술을 활용함으로써 공격자들은 여러 가지 악성 행위를 자동으로 실시할 수 있었으며, 탐지의 눈도 속일 수 있었다고 한다. “가치가 높은 표적을 찾는 것, 자동 전달 규칙을 설정하는 것, 표적의 메일함을 모니터링하는 것 등 대부분의 일들을 자동으로 처리했습니다.”

또한 공격자들은 자신들의 산발적 공격 행위가 사실은 한 개의 거대한 캠페인의 일환으로 벌어지는 것이라는 걸 숨기기 위해 클라우드를 활용하기도 했다고 MS는 설명한다. 그 외에도 “시간대와 공격 대상의 IP를 다양하게 함으로써 서로 관련이 없는 것처럼 보이게도 만들었다”고 한다. “그러나 공격의 발신지 IP는 특정 범위 내로 한정되어 있었습니다.”

MS는 공격 발신 IP 영역대를 추적했다. “그 결과 한 외부 클라우드 제공업체의 것임을 파악할 수 있었습니다. 그런데 비슷한 패턴의 공격 행위가 또 다른 클라우드 업체로부터 발생하는 것을 발견할 수 있었습니다. 이를 통해 공격자들의 인프라를 보다 큰 그림으로 볼 수 있게 되었습니다”

또한 공격자들은 기존 기업의 도메인들과 비슷해 보이는 DNS 기록들을 설정하기도 했다. 그래서 이메일이 정상적인 주소에서 발송된 것처럼 보이게 만들었고, 표적형 피싱 캠페인에도 활용할 수 있었다. “BEC 공격자들은 단순히 피싱 메일만 보낼 줄 아는 아마추어들이 아닙니다. 과거에는 그랬을 지도 모르지만 지금은 시간과 자원을 들여 탐지를 피해가고, 추적을 따돌리기 위한 갖가지 방법들을 동원합니다. 심지어 공격의 한 줄기가 들켜도 다른 부분에서 계속 이어갈 수 있도록 눈속임을 공들여 하기도 하지요.”

BEC 공격자들의 능숙한 클라우드 서비스 악용 현황을 보고 MS는 디지털 크라임 유닛(Digital Crimes Unit, DCU)과 위협 첩보 센터(MS Threat Intelligence Center)의 협조를 통해 사건을 조사하고 보고서를 작성했으며, 이를 각 클라우드 업체에 알렸다고 한다. 클라우드 업체들은 범죄자들의 인프라를 구성하고 있는 계정들을 삭제하는 중이다.

3줄 요약
1. 방대한 규모의 BEC 공격 캠페인, 클라우드 기술 활용하니까 가능해짐.
2. 방대한 규모지만 들키지 않기 위해 개별적 행위인 것처럼 공들여 위장함.
3. 랜섬웨어가 제일 많은 주목을 받고 있지만, BEC 역시 피해 측면에서는 충분히 파괴적인 공격.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해 기업에서의 클라우드 도입이 본격 확산될 것으로 보이는 가운데 이에 따른 보안 이슈도 부각되고 있습니다. 클라우드 보안 강화를 위한 방안으로 가장 주목 받을 솔루션은 무엇이라고 보시나요?
CASB(Cloud Access Security Broker, 클라우드 접근 보안중개)
CSPM(Cloud Security Posture Management, 클라우드 보안 형상 관리)
CWPP(Cloud Workload Protection Platform, 클라우드 워크로드 보호 플랫폼)
기타(댓글로)