VIP3R: 새로운 영향. 오래된 이야기. 큰 성공.

핵심 요약

모든 것은 Menlo Labs이 사용자 이름과 비밀번호가 있는 공개 디렉토리를 발견했을 때 시작되었습니다. 웹 서버의 내용을 살펴보니 이것이 단일 캠페인의 결과임을 확인했습니다. 이 캠페인은 상당히 성공적이었으며, 다양한 회사의 164명의 사용자 인증 정보를 침해할 수 있었습니다. 이 글에서 설명하는 위협 활동은 현재의 전통적인 보안 조치를 쉽게 우회할 수 있는 고도로 회피적 적응 위협(HEAT)으로 간주됩니다.

이 키트를 분석하는 과정에서 우리는 “DH4 VIP3R L337″이라는 독특한 문자열을 발견했습니다. 이것이 바로 이 특정 키트와 행위자에 대해 더 알아보려는 우리의 탐구를 시작하게 한 것입니다.

우리가 찾아낼 답변을 구하려고 했던 질문들은 다음과 같습니다:

• 이 행위자가 얼마나 많은 캠페인을 시작했나요?
• 그들이 특정한 목표 집단을 노렸나요? 아니면 인증 정보를 수집하기 위한 넓은 범위의 노력이었나요?
• 이 피싱 키트 뒤에 누가 있나요?
• TTPs(전술, 기술 및 절차)는 무엇인가요?

성공적으로 침해된 수직 분야

기술 분석

나쁜 행위자들의 작전 방식은 이메일을 통해 잠재적 희생자들에게 HTML 첨부 파일을 보내는 것입니다. 대부분의 안전한 이메일 게이트웨이(SEG)는 특정 파일 유형에 대한 기본 차단을 갖추고 있지만, HTML 첨부 파일은 이런 수준의 방어에서 제외됩니다. 이는 많은 대형 금융 회사들이 암호화된 이메일을 보내고, 사용자들이 먼저 등록하고 계정을 만들어 메시지를 안전하게 볼 수 있도록 하는데, 이런 암호화된 이메일들이 보통 HTML 첨부 파일의 형태를 띄고 있기 때문입니다.

다음 스크린샷(그림 1)은 사용자가 악성 HTML 첨부 파일을 열었을 때 사용자에게 표시되는 것의 예시입니다.

우리의 연구 결과, 공격자들이 대상 회사에서 사용하는 서비스에 따라 유인수를 신중하게 선택하고 맞춤화하고 있다는 것을 알 수 있습니다. 총 147개의 독특한 유인수가 공격자들에 의해 사용되었습니다. 유인수는 사이버 보안 회사부터 금융 서비스에 이르기까지 다양한 범위를 포함했습니다.

사용자가 제출한 인증 정보는 ajax XHR 요청을 사용하여 공격자의 CnC로 전송됩니다. JCyberSec이 서버 측 코드를 보내준 덕분에, 우리는 전체 공격 과정을 재구성하고 캠페인의 기능을 상세하게 파악할 수 있었습니다. 공격자는 피해자가 제출한 인증 정보를 확인하는 독특한 방법을 가지고 있습니다.

공격의 흐름은 다음과 같습니다:

1. 공격자들이 희생자에게 맞춤화된 HTML 첨부 파일 페이로드를 보낸다.
2. 희생자가 첨부 파일을 열면, 사용하는 서비스를 모방한 피싱 페이지가 제시된다.
3. 희생자가 제출 버튼을 누르면, 서버 측에서 비밀번호의 유효성 검사 및 확인이 이루어지고 그에 따른 응답이 전송된다.
4. PHPMailer 라이브러리를 사용하여 비밀번호의 확인 과정을 거치고, 희생자의 사용자 이름과 비밀번호를 포함한 이메일을 공격자가 통제하는 이메일 주소로 보낸다.
5. 이메일 전송이 실패하면, 즉 비밀번호 확인이 실패하면, {“msg”:”errorsend”}라는 json 응답이 클라이언트(브라우저)로 되돌려진다. 클라이언트는 유인수의 합법적인 웹사이트로 리다이렉트된다. 예를 들어, 그림 1에서 제시된 유인수에서 희생자는 proofpoint.com으로 리다이렉트된다.
6. 이메일이 성공적으로 전송되면, 비밀번호가 확인되고 클라이언트는 Microsoft OneDrive에 호스팅된 PDF로 리다이렉트된다.

우리는 초기 HTML 첨부 파일이 이러한 HTML 페이로드를 자동으로 생성하는 키트를 사용하여 생성되는 것으로 생각한다. Menlo Labs 연구자들은 키트를 찾기 위해 상당한 시간을 들였지만 결국 찾지 못했습니다. 이러한 페이로드 생성 키트에 대해 알고 있는 연구자가 있다면, 이들 페이로드 생성 키트가 어떻게 작동하는지 알아보기 위해 협력하고 싶습니다. 그러나 추가적인 세부 사항이 없는 한, 우리는 이 페이로드 생성 키트를 VIP3R_L33T Generator로 추적하고 있습니다.

공격자 인프라 분석

위의 그래프는 DH4_VIP3R_L33T가 사용한 인프라를 보여줍니다. 전체 그래프는 여기서 공개적으로 이용할 수 있습니다.

인증 정보가 전송된 대부분의 도메인은 NameCheap 도메인 등록 서비스를 사용하여 등록되었습니다. 이 서비스는 도메인 등록자에게 저렴하고 개인적인 서비스를 제공하여 도메인을 등록한 사람에 대한 세부 정보를 숨길 수 있습니다.

다음은 공격자들이 사용한 명칭입니다:

1. DH4 VIP3R L33T
2. B4d BOI L33T
3. ICQ Silentc0der
4. *B0y

결론

인증 정보 피싱은 여전히 고객을 통해 볼 수 있는 가장 큰 공격입니다. 지역과 산업 수직 분야에 걸쳐 모든 고객이 이 벡터로 인해 영향을 받았습니다. 우리 플랫폼에서 볼 수 있는 공격 중 약 22%가 인증 정보 피싱 공격이며, 이러한 공격 중 7%는 기존의 URL 평판 엔진에 의해 감지되지 않습니다. 이러한 기존 URL 평판 회피 기술은 Menlo Labs 연구팀이 LURE로 지칭하는 것으로, 고도로 회피적 적응 위협(HEAT)에서 발견되는 네 가지 회피 기술 중 하나입니다. Menlo Labs 팀은 인지 편향을 이용하는 HEAT 공격의 급격한 증가를 관찰했으며, 이로 인해 우리는 인증 정보를 입력하도록 속아 넘어갑니다. 이 편향과 공격자들이 사용하는 전략이 결합되어 이러한 공격이 매우 성공적입니다. 사이버 보안 인식을 높이는 교육 및 교육 활동을 통해 자격 증명 인증서(credential) 피싱 공격의 영향을 줄이는 데 도움이 되지만, 기업 사용자들은 개인 정보나 민감한 정보를 요청하는 양식을 제시하는 사이트에 대해 항상 조심해야 합니다.