[데이터넷] 스미싱, 피싱으로 사용자를 속여 개인정보를 탈취하고, 이 정보를 이용해 헬프데스크를 속여 MFA를 재설정하며, 내부 시스템에서 특권계정을 훔쳐 주요 정보를 탈취, 공개한다고 협박하는 공격자의 행태가 공개됐다. 맨디언트가 UNC3944의 공격 방식을 자세히 분석한 블로그를 보면, 사이버 공격자들이 어떤 방식으로 침투하는지 자세히 알 수 있다. 특히 이들은 AWS, 애저 등 퍼블릭 클라우드의 정상 기능을 이용해 보안 모니터링을 우회하면서 공격하는데 탁월한 능력을 보이기도 했다.

권한계정 훔쳐 중요 시스템 접근

공격자는 우선 피해자에게 사회공학 기법을 이용해 접근한다. 스미싱과 피싱을 적극 사용한다. 피싱은 실제 조직의 서비스와 유사하게 디자인한다. 피싱 사이트는 실제 피해자가 속한 조직의 SSO, 헬프데스크 형태로 구성되는데, 실제 사용하는 계정 재설정 프로세스와 유사하게 만든다.

어떤 공격 사레에서는 상용 소프트웨어의 원격접근 도구 등 합법적인 기능을 악용했다. 맨디언트가 분석한 한 사레에서는 IT 아웃소싱 직원 노트북에 정상으로 위장된 가짜 소프트웨어를 다운로드 한 후 인증정보를 도용하는 멀웨어를 설치해 정보를 훔쳤다.

공격자는 헬프데스크에 전화해 피해자 본인인 것처럼 위장해 비밀번호를 재설정하거나 MFA 인증 토큰을 바꾼다. 상용 프록시 서비스를 이용해 피해자 위치에서 접근한 것처럼 속여 보안 모니터링 도구의 감시를 피한다. 헬프데스크에서 요구하는 이름, 연락처, 사번 등의 정보도 미리 확보해헬프데스크를 속인다.

목표 조직에 침투한 공격자는 내부 문서, 자원, 채팅 로그 등을 분석하며, 비밀번호 관리 시스템이나 중요 서버에 접근할 수 있는 권한이 있는 계정을 노려 권한을 상승시킨다. 피해자 환경에서 관리되지 않은 가상머신을 생성하거나 피해자 클라우드 환경에서 인터넷에 접근할 수 있는 가상머신을 생성시키기도 한다.

내부 시스템에서 특권권한을 찾아내거나 하시코프 공식 사이트에서 다운로드한 볼트 클라이언트를 이용해 피해자 하시코프 볼트에 데이터를 보내는 방식으로도 인증정보를 획득하고, 도메인관리자 계정으로 파일 서버에 접근한다. 트러플호그, 깃가디언 등 공개적으로 이용할 수 있는 도구로 깃허브 저장소에서 인증정보를 찾았으며, 애저 테넌트 대상 오픈소스 도구 마이크로버스트를 실행하기도 했다.

ID 서비스·가상머신으로 보안 우회

UNC3944는 침투 속도가 빠르고 대규모 데이터를 신속하게 빼낸 후 공개 협박하면서 금전 수익을 얻는다. 이들은 며칠만에 공격에 성공, 데이터 유출 협박을 하기 때문에 보안팀에게 큰 부담이 된다. 이들은 텍스트 메시지와 이메일로 경영진과 직접 접촉하면서 금전을 요구하며, 피해 조직의 클라우드 리소스를 이용해 후속 침투 작업을 효율화하고, 민감 시스템과 데이터 저장소에 접근한다.

UNC3944는 멀티 클라우드 환경에서 모니터링하기 어려운 기술을 사용한다. 예를 들어 마이크로소프트 엔트라ID(구 애저 AD)에서 불법적인 ID 제공자를 추가해 골든 SAML 공격을 실행하고, AD 서버에 대한 접근권한을 획득한 후 사용자 인증정보를 탈취한다. ID 제공자를 추가하면 엔트라 ID로 보호하는 리소스에 암호와 MFA 없이 접근할 수 있다. 또 공격자는 애저 가상머신을 생성한 후 공개 IP 주소를 할당하는데, 여기에는 보안·로깅 소프트웨어가 설치되지 않는다. 이를 이용해 조직의 신뢰할 수 있는 시스템에 접근한다.

클라우드 리소스에 접근해 악성 유틸리티를 호스팅하고, 네트워크 내 시스템에서 실행하는데, 한 공격 사례에서는 AWS S3 버킷에서 악성 유틸리티를 호스팅하고, 마이크로소프트 인튠 파워셸 오케스트레이션을 사용해 피해 조직 내부에서 유틸리티를 다운로드했다. 이 스크립트는 방화벽 룰을 비활성화 한 후 ALPHV 랜섬웨어 페이로드를 검색해 실행하도록 설정했다.

이들은 애저 특수기능과 애플리케이션을 사용해 데이터를 탈취하고 측면 이동을 수행한다. 특별 관리 콘솔을 이용해 조직의 애저 환경 내에서 측면이동을 하면서 가상머신에 시리얼 콘솔을 통해 연결한다.

맨디언트는 위협 행위자들이 애저 데이터 팩토리(ADF)를 사용해 데이터웨어하우스, 스토리지 볼륨, SQL 데이터베이스 등 다양한 플랫폼에 저장된 데이터를 탈취하기 위해 기존 파이프라인을 수정하는 것을 탐지했다. 여러 데이터 소스에서 정보를 내보내는 파이프라인 작업을 생성할 때 ADF가 대량의 데이터를 복사할 수 있는 안정적이고 높은 대역폭의 플랫폼으로 활용됐다.

언더그라운드 포럼 지원받아 고도화되는 공격자

맨디언트가 관찰한 이들의 공격 대상은 통신, 비즈니스 프로세스 아웃소싱(BPO), 숙박, 도매, 미디어, 엔터테인먼트, 금융 등 다양한 분야이며, 민감한 데이터를 대량으로 유출하고 이를 통해 피해 조직을 협박하는데 중점을 두고 있다.

이들은 서구권의 비즈니스 관행에 대해 깊이 이해하는 것으로 보이며, 옥타푸스, 스캐터 스와이, 스캐터드 스파이더 등 잘 알려진 해킹 조직과 유사한 공격 행위를 한다. 맨디언트는 이들이 언더그라운드 커뮤니티 지원을 받아 기술을 개선하고 작전의 효율성을 높이고 있다고 분석했다. 그리고 앞으로 더 파괴적이고 수익이 높은 TTP로 활동 범위를 확장했울 가능성이 있으며, 새로운 수익화 전략을 사용할 것으로 예상했다.

이들이 입증한 클라우드 기능 악용 공격을 막기 위해서는 엔트라ID 사용 시 애저 MFA 남용과 권한 있는 특권계정 탈취를 막을 수 있는 방법을 마련해야 한다. MFA 설정 시 SMS 매칭 옵션을 제거하고, 조건부 액세스 정책을 새로 만들며, 인증강도를 강화해 액세스 권한 설정을 강화한다.

사용자가 실제로 안전한 위치에서 직접 접속하는지 확인할 수 있도록 외부 액세스를 차단하며, 헬프데스크에 연락해 MFA를 재설정하는 것을 막기 위해 영상통화로 인증을 요구하는 것이 제안된다.

김선애 기자 다른기사 보기