최근 가짜 브라우저 업데이트를 이용한 사이버 위협이 증가해 프루프포인트 사이버 위협 팀이 관련 연구 결과를 발표했다.

프루프포인트 사이버 위협 팀은 TA569가 5년 이상 가짜 브라우저 업데이트를 이용해서 속골리시(SocGholish) 멀웨어를 배포해왔는데, 최근 들어 다른 위협 행위자들도 유사한 수법을 적용하고 있다는 것을 발견했다.

다음은 이번 연구의 주요 내용이다.

◇프루프포인트는 현재 멀웨어 배포를 노린 가짜 브라우저 업데이트를 이용한 사이버 위협 클러스터를 4종 이상 추적하고 있다.

◇연구에 따르면, 공격 그룹 TA569는 5년 이상 가짜 브라우저 업데이트를 이용해서 속골리시(SocGholish) 멀웨어를 배포해왔는데, 최근 들어 다른 위협 행위자들도 유사한 수법을 적용하고 있다.

◇각 위협 행위자는 자체 방법으로 유인책과 페이로드를 전달하지만, 화면 구성(theme)은 동일한 사회공학적 수법에 기반하고 있다.

◇가짜 브라우저 업데이트를 관리하는 위협 행위자들은 자바스크립트(JavaScript) 또는 HTML 코드를 사용하여 관리 중인 도메인으로 트래픽을 이동시키고, 이를 통해 피해자가 사용하는 웹 브라우저에 그럴듯한 브라우저 업데이트 웹사이트로 덮어쓰기 한다.

◇이후 악성 페이로드가 자동 다운로드 된다. 또는 사용자가 '브라우저 업데이트'를 다운로드 하라는 팝업 메시지를 수신하는 동시에 페이로드가 전달된다.

프루프포인트 측은 그간 페이로드를 포함한 다양한 멀웨어 배포 목적으로 가짜 브라우저 업데이트를 이용한 사이버 위협 행위가 급증했다는 사실을 파악했다.

SocGholish와 TA569는 보안이 취약한 웹사이트를 침투해서 가짜 브라우저 업데이터가 멀웨어 배포에 효과적인 수법이라는 사실을 입증했고, TA569 사례를 학습한 새 위협 행위자가 자신만의 방법으로 응용해서 이 수법을 악용하기 시작했다.

이러한 유사 수법은 현재 정보도용 도구와 원격접속도구(RAT) 등을 사용하고 있을 가능성도 있다. 그러나 랜섬웨어 초기 액세스 브로커(initial access broker)로 쉽게 방향을 틀 가능성도 있다.

각 기업 보안팀은 이번 보고서에 기술된 활동을 감지-방지하기는 쉽지 않다. 사회공학과 위협 행위자의 웹사이트 침해 수법 때문에 최종 사용자에게 위협을 제대로 인지시키기가 어려울 수 있다.

최선의 대비책은 심층방어다. 각 기업 조직은 Emerging Threats Ruleset 등 네트워크 감지 체계를 도입하고, 엔드포인트 방어를 활용해야 한다. 추가로, 사용자 교육을 통해 침해 활동을 파악하고 의심될 경우 보안팀에 신고하도록 해야 한다.

프루프포인트 사이버 위협 연구팀은 “가짜 브라우저 업데이트는 데이터 도용과 컴퓨터 원격제어, 랜섬웨어로까지 이어지는 수많은 멀웨어에 활용되어 온 것으로 알려져 있다. 공격자가 고안한 기법과 사회공학을 교묘하게 결합한 공격 방식으로, 정보 보안에 대한 인간의 욕망을 이용해 무고한 피해자를 양산하고 있는 실정이다”라고 말했다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★