좋은 소식
이번 주에는 Office 365 계정을 타겟으로 삼은 대규모 BEC(비즈니스 이메일 침해) 수법을 막아 냈습니다. BEC(비즈니스 이메일 침해) 또는 EAC(이메일 계정 침해)는 지난해 인터넷 관련 범죄로 인한 피해 중 가장 큰 비중을 차지했습니다. 이 사기꾼들은 코로나19 팬데믹을 미끼로 사용하여 인터넷 도메인 여섯 곳을 통해 피싱 트래픽을 유도하고, 악성 웹앱으로 피해자 Office 365 계정의 자격 증명을 얻었습니다.
이 범죄에 웹앱이 사용된 것은 처음입니다. 범죄자들은 복제된 가짜 로그인 페이지를 사용하는 대신, 피해자들에게 웹앱이 본인 계정에 액세스하는 데 동의해 달라고 요청했습니다. 일단 계정을 탈취한 공격자는 이를 사기 수법에 활용하여 사업주들을 설득하고 범죄 계좌로 송금하도록 만들었습니다.
62개국 이상에서 발생한 이 사기 사건은 다음과 같은 악성 도메인을 사용했으며, 현재 해당 도메인은 Microsoft에서 몰수한 상태입니다.
officeinventorys.com officesuitesoft.com officehnoc.com officesuited.com officemtr.com mailitdaemon.com
이번 주의 또 다른 좋은 소식입니다. macOS 보안 커뮤니티가 공개 토렌트 사이트에서 배포된 크랙 소프트웨어에 숨겨져 있던 랜섬웨어/정보 도용 프로그램의 조합을 분리해 냈습니다. “EvilQuest” 또는 “ThiefQuest”라고 불리는 이 위협의 작성자는 Windows 환경의 유사한 성공 모델에 따라 백그라운드에서 조용히 데이터를 훔치고 포그라운드에서는 암호화된 파일에 대한 몸값을 당당하게 요구하려 했을 것입니다.
SentinelLabs는 EvilQuest/ThiefQuest 맬웨어가 사용하는 대칭 암호화를 해독하고 공개 암호 해독기를 출시했습니다. 또한 이 위협 행위자들이 자금을 모으기 위해 개설한 비트코인 주소에 한 건의 거래도 기록되지 않은 것 역시 기쁜 소식입니다. 그러나 별도의 데이터 도난 및 백도어 구성 요소가 민감한 데이터를 갈취했을 수 있으며, 디바이스를 제대로 정리하지 않았다면 계속 활성 상태일 수 있기 때문에 이 맬웨어는 피해자들에게 여전히 걱정거리로 남아 있습니다.
나쁜 소식
이번 주에 발표된 보고서에 따르면 USB 이동식 미디어 디바이스를 통해 운영 기술 시스템을 노리는 사이버 위협이 지난 12개월 동안 거의 두 배로 증가했습니다. 보고서에 따르면 조사에 참여한 모든 산업 현장 중 절반 가량에서 산업 공정 제어 네트워크를 대상으로 하는 위협이 한 번 이상 감지되었다고 합니다. 이 보고서는 USB 디바이스가 계속 확산되면서 공격 벡터로 사용되는 경우가 늘었고, 보고된 공격의 20%는 이동식 스토리지 디바이스를 통해 발생했다고 강조합니다. 공격자들이 가장 관심을 둔 목표는 백도어를 열어서 지속적인 원격 액세스를 설정하고 악성 페이로드를 추가로 투입하는 것이었습니다.
USB 기반의 위협이 증가하는 것은 한 디바이스에서 다른 디바이스로 맬웨어를 실수로 전송하기 때문이 아니라, USB 디바이스를 활용하여 OT 시스템을 공격하는 “고의적이며 조정된” 공격(예: Disttrack, Duqu, Ekans, Industroyer, USBCulprit)의 결과라고 합니다. 시의적절하게 작성된 이 보고서는 이동식 미디어 제어(소프트웨어 기반 USB 디바이스 포함)의 중요성을 모든 기업 보안 팀에 알려줍니다.
추한 소식
마지막으로, 지구라는 작은 행성에는 약 79억의 인구가 살고 있지만 해커 포럼에서 유통되는 도난당한 계정 자격 증명의 양은 그 두 배에 달합니다. 새로운 다크넷 감사 결과에 따르면 그중 약 50억 개가 고유한 자격 증명이라고 합니다. 이렇게 방대한 데이터가 노출된 것은 100,000건이 넘는 데이터 침해 사건의 결과이며, 우리는 이렇게 참담한 규모의 보안 실패를 겸허히 돌아 보아야 합니다.
도난당한 자격 증명 계정의 출처는 소셜 미디어, 스트리밍, VPN, 게임 사이트에서 은행, 금융 서비스, 도메인 관리자 계정에 이르기까지 다양합니다. 예를 들어, 다른 사람의 온라인 뱅킹 계정에 액세스하려는 범죄자는 다크넷에서 약 500달러에 계정을 구매할 수 있습니다. 한편 경매 방식으로 최고 입찰자에게 넘어가는 도메인 관리자 계정은 계정에 따라 수천 달러에서 10만 달러 이상까지 책정됩니다.
온라인 자격 증명 도용과 계정 탈취는 급성장하는 산업입니다. 사이버 범죄자들이 대규모 피싱 캠페인에 뛰어들고(봇넷 사용), 자격 증명 도용 맬웨어를 퍼뜨리고, 자격 증명 스터핑 및 무차별 암호 대입과 같은 기술을 사용해 암호를 훔치기 때문입니다. 이 보고서에서 강조하듯이, 범죄자들은 이제 훔친 자격 증명을 사용할 때 서비스에서 의심스러운 로그인 경고가 뜨지 않도록 쿠키, IP 주소, 시간대 등 디지털 지문 데이터에 대한 액세스 권한까지 수집하여 판매하고 있습니다. 일부 다크넷 시장(Genesis Market, UnderWorld Market 및 Tenebris)에서는 손상된 계정에 대한 액세스 권한을 제한된 시간 동안 다른 사이버 범죄자들에게 임대할 수 있는 것으로 알려졌습니다. 이러한 계정은 자금 세탁, 이메일 수신 또는 상품 구매와 같은 특정 목적으로 사용될 수 있습니다.
연구원들에 따르면 평균적인 사용자는 암호가 필요한 온라인 서비스를 거의 200가지나 사용한다고 합니다. 많은 사용자가 기본적인 암호 보안을 모르고 있으며 많은 조직이 데이터 침해를 막지 못하는 상황에서, 150억이라는 현재의 피해액은 불과 몇 년만 지나면 하찮은 액수로 보일지도 모릅니다.
Like this article? Follow us on LinkedIn, Twitter, YouTube or Facebook to see the content we post.
Read more about Cyber Security
- “EvilQuest” Rolls Ransomware, Spyware & Data Theft Into One
- How Do Attackers Use LOLBins In Fileless Attacks?
- How a New macOS Malware Dropper Delivers VindInstaller Adware
- Ransomware – A Complex Attack Needs a Sophisticated Defense
- macOS Big Sur | 9 Big Surprises for Enterprise Security
- The CISO Side: A Certifiable Journey
- Next-Gen AV and The Challenge of Optimizing Big Data at Scale
- Email Reply Chain Attacks | What Are They & How Can You Stay Safe?