2024-10-16 11:05 (수)
운송·물류 기업 타깃 사이버 공격 급증, 이메일 계정 탈취해 정교한 악성코드 공격 시도
상태바
운송·물류 기업 타깃 사이버 공격 급증, 이메일 계정 탈취해 정교한 악성코드 공격 시도
  • 길민권 기자
  • 승인 2024.09.26 17:42
이 기사를 공유합니다

공격자들, 해킹한 메일 계정 통해 기존 이메일 스레드에 악성 첨부파일이나 링크 삽입

최근 운송 및 물류 기업들이 피싱 캠페인을 통해 다양한 정보 탈취 악성코드와 원격 액세스 트로이 목마(RAT)를 배포하는 사이버 공격이 급증하고 있어 각별한 주의가 요구된다. 사이버 보안 기업인 프루프포인트(Proofpoint)에 따르면 이번 공격은 합법적인 운송 및 해운 기업의 이메일 계정을 해킹해 기존 이메일 대화에 악성 콘텐츠를 주입하는 방식으로 진행되고 있어 성공 가능성을 높이고 있다.

사이버 공격자들은 최소 15개의 합법적인 운송 및 물류 기업의 이메일 계정을 해킹해 공격을 시작했다. 이러한 계정들이 어떻게 처음 침투되었는지는 아직 밝혀지지 않았으며, 공격자들의 초기 접근 방식에 대한 의문이 남아 있다. 침투에 성공한 공격자들은 해킹한 계정을 통해 기존 이메일 스레드에 악성 첨부파일이나 링크를 삽입하며 피싱 성공률을 높이고 있다.

2024년 5월부터 7월까지 공격자들은 주로 Lumma Stealer, StealC, NetSupport RAT와 같은 악성코드를 배포했다. 그러나 2024년 8월부터 이들은 새로운 인프라와 전송 기술을 활용하기 시작했으며 DanaBot과 Arechclient2 등의 악성코드를 추가해 그들의 무기를 확장했다.

이번 피싱 캠페인은 여러 기술을 활용하여 악성코드 페이로드를 전달한다. 흔한 방법 중 하나는 .URL(인터넷 바로가기) 첨부파일이나 Google 드라이브 링크를 포함한 이메일을 보내는 것이다. 이 링크를 실행하면 SMB(Server Message Block) 프로토콜을 사용해 원격 공유 서버에서 다음 단계의 페이로드를 다운로드하고, 이를 통해 악성코드가 피해자 시스템에 설치된다.

또한, 2024년 8월에 등장한 또 다른 기법은 "ClickFix"로 알려진 최근 인기 있는 기법을 활용하는 것이었다. 이는 웹 브라우저에서 문서 콘텐츠를 표시하는 데 문제가 있다는 이유로 피해자를 속여 DanaBot 멀웨어를 다운로드하도록 유도한다. 피해자에게는 Base64로 인코딩된 PowerShell 스크립트를 터미널에 복사해 실행하도록 권유하며, 이로 인해 감염 프로세스가 시작된다.

공격자들은 목표 기업에 대한 철저한 조사를 통해 맞춤형 유인책을 활용하며 공격을 수행한다. Samsara, AMB Logistic, Astra TMS와 같은 운송 및 차량 관리 소프트웨어 업체를 사칭해 피싱 캠페인을 진행했는데, 이는 공격자들이 해당 산업과 관련된 배경지식을 활용해 공격을 더욱 정교하게 설계하고 있음을 보여준다. 이러한 사칭 전술로 인해 피싱 시도가 더욱 설득력을 얻어 피해자를 감염시키는 데 성공할 가능성이 높아졌다.

이번 캠페인은 최근 등장한 정보 탈취 악성코드의 증가 추세를 반영하고 있다. Lumma Stealer와 NetSupport 외에도 Angry Stealer, BLX Stealer(XLABB Stealer로도 알려짐), Emansrepo Stealer, Gomorrah Stealer, Luxy, Poseidon, PowerShell Keylogger, QWERTY Stealer, Taliban Stealer, X-FILES Stealer, 그리고 'Yet Another Silly Stealer(YASS)'로 불리는 CryptBot 관련 변종까지 다양한 종류의 악성코드가 발견되고 있다. 이러한 악성코드의 다양성은 최근 사이버 공격의 정교함과 위협 수준이 높아지고 있음을 말해주고 있다.

RomCom RAT의 새로운 버전인 SnipBot의 등장은 운송 기업들의 사이버 보안 상황을 더욱 복잡하게 만들고 있다. SnipBot은 이전 버전인 PEAPOD(RomCom 4.0)의 후속 버전으로, 피싱 이메일에 포함된 악성 링크를 통해 배포되고 있다. 팔로알토 네트웍스(Palo Alto Networks) Unit 42의 연구원인 야론 사무엘(Yaron Samuel)과 도미니크 라이헬(Dominik Reichel)은 이 공격을 분석한 결과, 초기 페이로드는 일반적으로 PDF 파일로 위장한 실행형 다운로드 프로그램이거나 이메일을 통해 전송된 실제 PDF 파일로 위장되어 피해자에게 전달된다는 점을 발견했다. 이러한 파일을 실행하면 공격자가 시스템에 접근할 수 있도록 하는 실행 파일을 다운로드하게 된다.

이전에 RomCom RAT는 랜섬웨어 배포와 관련이 있었지만, 최근의 공격에서는 이러한 행동이 나타나지 않았다. 대신 이 악성코드를 사용하는 공격자, "Tropical Scorpius(Void Rabisu)"로 알려진 이들이 단순한 금전적 이득보다는 스파이 행위에 초점을 맞추고 있는 것으로 추정된다. 이는 이들의 전술과 목표가 변화하고 있음을 보여준다.

사이버 보안 전문가들은 이러한 위협을 완화하기 위해서는 인식과 경계심을 높이는 것이 중요하다고 강조했다. 프루프포인트는 이메일 보안이 여전히 방어의 핵심적인 계층이라며, 공격자들이 신뢰할 수 있는 출처로 보이는 피싱 시도를 수행하는 것을 막기 위해 첨단 이메일 보안 솔루션을 도입할 것을 권장했다. 운송 및 물류 업계의 기업들은 신뢰할 수 있는 소스에서 유래하는 피싱 시도까지도 탐지하고 차단할 수 있는 고도화된 이메일 보안 체계를 구축해야 한다.

팔로알토 네트웍스의 야론 사무엘과 도미니크 라이헬은 무단 스크립트 및 악성 페이로드의 실행을 감지하고 차단할 수 있는 포괄적인 엔드포인트 보호 조치를 권고했다. 또한, 직원들에게 피싱 전술에 대한 정기적인 교육을 실시하여 의심스러운 첨부파일이나 링크를 식별하는 능력을 강화하는 것도 중요하다고 강조했다.

전문가들은 모든 이메일 계정 및 주요 시스템에 대해 다단계 인증(MFA)을 도입하고, 네트워크 트래픽을 정기적으로 모니터링하여 비정상적인 활동을 감지하며, 강력한 로깅 메커니즘을 통해 침입 가능성을 조기에 식별하는 것이 중요하다고 조언했다.

★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★