Home > 전체기사

1천 개 크리덴셜 훔친 공격자들, 실수로 데이터를 인터넷에 노출시켜

  |  입력 : 2021-01-22 15:41
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
2020년 동안 열심히 피싱 공격을 진행하던 사이버 공격자들이 실수로 자신들의 성과들을 인터넷에 고스란히 노출시켜 버렸다. 간단한 구글 검색만으로 누구나 이들이 쌓아온 ‘보물(?) 창고’에 들어갈 수 있게 되었다.

[보안뉴스 문가용 기자] 지난 8월부터 한 공격 단체가 대규모 피싱 캠페인을 벌여왔다. 제록스(Xerox)의 스캔 알림 메일처럼 생긴 가짜 이메일을 보내 여러 기업들로부터 크리덴셜을 훔쳐냈다. 여기에 속아 제록스 문서인 줄 알고 스캔된 문서가 무엇인지 확인하려 했던 피해자들이 첨부된 파일에 마이크로소프트 365 크리덴셜을 입력했기 때문이다.

[이미지 = utoimage]


간단한 공격처럼 보이지만 공격자들이 마이크로소프트 365 고급 위협 보호(MS 365 Advanced Threat Protection)를 우회한 것을 보면 꽤나 공을 들였다는 것을 알 수 있다고 보안 업체 체크포인트(Check Point)는 설명한다. 실제 이 공격자들은 지난 5개월 동안 1000개가 넘는 직원들의 업무용 크리덴셜을 훔치는 데 성공했다.

캠페인이 진행되는 동안 공격자들은 이메일이 보다 ‘진짜같이’ 보이도록 하기 위해 여러 가지 장치들을 삽입하기도 했다. 그 외에도 여러 보안 솔루션들을 우회하기 위해 다양한 업그레이드와 변신을 시도하기도 했다. 현재도 이 공격의 탐지 비율은 낮은 상태라고 한다.

공격자들은 이번 캠페인을 위한 전용 인프라를 마련하고, 워드프레스 사이트들을 침해해 이른바 ‘드롭존 서버(drop-zone server)’로 활용하기도 했다. 이 서버들로부터 수많은 XYZ 도메인들 생성해 낸 공격자들은 서버를 약 2주 동안만 운영했다. 깔끔하게 서버를 바꿔 블랙리스트나 추적을 피하려고 한 것이다.

이 서버들에서 공격자들은 악성 PHP 페이지를 호스팅하고, 피해자들이 전송한 크리덴셜 정보를 처리했다. 그런데 이 정보가 하필이면 누구나 열람할 수 있는 형태의 파일로 저장이 되었다. 그래서 구글의 검색에도 노출되었다. 누구나 구글 검색창을 통해 공격자들이 훔쳐간 정보에 접근할 수 있었다.

체크포인트는 이런 상황을 파악하고 공개된 정보를 입수해 분석했다. 약 500개의 크리덴셜을 분석한 결과 피해자들 중 대다수(16.7%)가 건축 분야에 종사하고 있음을 알 수 있었다. 그 다음은 에너지 분야였다(10.7%). 정보 기술(6%), 의료(4.5%)가 그 다음으로 많은 피해를 기록했다.

뿐만 아니라 같은 공격자들이 진행한 것으로 보이는 다른 피싱 캠페인도 발견할 수 있었다. 전략과 기술, 처리 과정 등이 모두 현저하게 닮았다고 한다. 그 캠페인은 2020년 5월부터 진행됐으며, 이번에 체크포인트가 발표한 피싱 캠페인과 마찬가지로 MS 오피스 365의 클라우드 크리덴셜을 확보하는 게 목적이었다고 한다.

체크포인트는 “익숙한 모양, 내용, 출처를 가진 이메일이라도 주의해야 한다”고 강조했다. “인터넷을 통해 날아온 문서나 링크는 거듭해서 확인한 후 클릭해야 합니다. 주소 도메인의 철자가 전부 같은지, 제목 같은 곳에 철자 오류가 있다든지, 보내는 사람이 확실한지, 보낸 사람이 알고 있는 사람이라면 사전에 메일에 대한 연락이 있었는지를 다 알아보고 열어도 늦지 않습니다.”

3줄 요약
1. 5개월 동안 여러 가지 노력 끝에 1000개의 크리덴셜 확보한 공격자들.
2. 훔친 파일들을 실수로 ‘검색 가능하게’ 저장. 때문에 구글 검색으로 크리덴셜에 접근 가능.
3. 이 때문에 중간 역할 담당하던 서버들과 또 다른 피싱 캠페인이 발견되기도 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
과기정통부가 발표한 ‘K-사이버방역 추진전략’ 8대 과제 가운데 가장 시급하고 중요하게 해결해야 할 과제는?
사이버보안 대응체계 고도화
수요자 중심 디지털보안 역량 강화
차세대 융합보안 기반 확충
신종 보안위협 및 AI 기반 대응 강화
디지털보안 핵심기술 역량 확보
정보보호산업 성장 지원 강화
디지털보안 혁신인재 양성
디지털보안 법제도 정비