브라우저 업데이트인 척 ‘멀웨어’ 배포중
프루프포인트, 가짜 브라우저 업데이트 이용한 사이버 위협 관련 연구 발표
보안을 유지하는 방법으로 ‘PC의 운영체제 및 프로그램 업데이트’는 빠지지 않는 항목이다. 이는 업데이트 항목에 포함된 보안패치를 적용하기 위함으로 신종 바이러스에 예방주사를 맞는 것과 같은 맥락이다. 패치되지 않은 취약점은 사이버 위협자의 공격에 속수무책으로 당하게 된다. 그러나, 최근 업데이트를 하는 척 사용자를 속여 멀웨어를 배포하는 사이버 위협이 발생하고 있다.
프루프포인트 사이버 위협 팀의 연구 결과 최근 가짜 브라우저 업데이트를 이용한 사이버 위협이 증가한 것으로 드러났다. ‘TA569’이라는 공격 그룹이 5년 이상 가짜 브라우저 업데이트를 이용해서 ‘속골리시(SocGholish) 멀웨어’를 배포해왔다. 최근 들어 다른 위협 행위자들도 유사한 수법을 적용하고 있다는 것을 발견한 것.
프루프포인트는 멀웨어 배포를 노린 가짜 브라우저 업데이트를 이용한 사이버 위협 클러스터 4종 이상 추적하고 있다고 밝혔다. 그중 공격 그룹 TA569는 5년 이상 가짜 브라우저 업데이트를 이용해서 속골리시(SocGholish) 멀웨어를 배포해왔는데, 최근 들어 다른 위협 행위자들도 유사한 수법을 적용하는 움직임이 포착됐다.각 위협 행위자는 자체적인 방법으로 유인책과 페이로드를 전달하지만, 화면 구성(theme)은 동일한 사회공학적 수법에 기반하는 것이 확인됐다. 가짜 브라우저 업데이트를 관리하는 위협 행위자는 자바스크립트(JavaScript) 또는 HTML 코드를 사용했다. 관리 중인 도메인으로 트래픽을 이동시키고, 이를 통해 피해자가 사용하는 웹 브라우저에 그럴듯한 브라우저 업데이트 웹사이트로 덮어쓰게 된다. 이후 악성 페이로드가 자동 다운로드 된다. 또는 사용자가 ‘브라우저 업데이트’를 내려받으라는 팝업 메시지를 수신하는 동시에 페이로드가 전달되는 방식이다.
프루프포인트는 페이로드를 포함한 다양한 멀웨어 배포 목적으로 가짜 브라우저 업데이트를 이용한 사이버 위협 행위가 급증했다는 사실을 파악했다. TA569는 보안이 취약한 웹사이트를 침투해 가짜 브라우저 업데이트가 멀웨어 배포의 효과적인 수법이라는 사실을 확인했다. 이를 학습한 새 위협 행위자가 자신만의 방법으로 응용해서 이 수법을 악용하기 시작했다는 결론이다.
이와 같은 유사 수법으로 정보도용 도구와 원격접속도구(RAT) 등을 사용하고 있을 가능성이 제기된다. 랜섬웨어 초기 액세스 브로커(initial access broker)로 쉽게 방향을 틀 수도 있다. 프루프포인트는 최선의 대비책은 ‘심층방어’라고 제시했다. 각 기업 조직은 Emerging Threats Ruleset 등 네트워크 감지 체계를 도입하고, 엔드포인트 방어를 활용해야 한다고 설명했다. 추가로, 사용자 교육을 통해 침해 활동을 파악하고 의심될 경우 보안팀에 신고해야 한다고 말했다.
프루프포인트 사이버 위협 연구팀은 “가짜 브라우저 업데이트는 데이터 도용과 컴퓨터 원격제어, 랜섬웨어로까지 이어지는 수많은 멀웨어에 활용되어 온 것으로 알려져있다. 공격자가 고안한 기법과 사회공학을 교묘하게 결합한 공격 방식으로, 정보 보안에 대한 인간의 욕망을 이용해 무고한 피해자를 양산하고 있다”고 우려를 표했다.
기사 출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=122760)
—
랜섬웨어, 멀웨어 등 감염예방 및 보안을 유지하기 위해 진행하는 PC의 운영체제 및 프로그램 업데이트도 이제는 안전하지 않은 상황입니다. 이럴 때일수록 사이버 공격에 대한 대비를 철저히 준비할 때인데요. (주)피플러스는 정보보안, 네트워크보안, 취약점에 대한 통합 점검 및 진단 관리, 통합 보안 관제 솔루션 등 기업 운영에 최적화된 솔루션을 제공하는 정보보안 통합관리 전문 기업으로 기업의 정보 보호를 위해 보안 정책부터 솔루션 설치까지 안내해 드리고 있습니다. 기업이 보안솔루션 도입을 고민하고 있을 때 사이버 공격은 날로 발전하고 지능화 되어가고 있습니다. 이제 더이상 고민하지 마시고 피플러스 보안 전문가와 함께 기업의 정보보안에 만전을 기하시기 바랍니다.