최근 프루프포인트(Proofpoint) 위협 연구팀은 트라이클라우드플레어(TryCloudflare Tunnel)를 악용한 멀웨어 배포 사례가 급증하고 있다고 발표했다. 이 연구는 사이버 범죄자들이 주로 금전적 목적으로 '원격 접근 트로이목마(RAT)'를 배포하는 데 초점을 맞추고 있다.
프루프포인트 연구에 따르면, 공격 행위자들은 클라우드플레어 터널을 통해 시간에 맞춰 공격 수위를 조절할 수 있는 임시 인프라를 확보할 수 있다. 이를 통해 정적인 차단 리스트에만 의존하는 기존의 보안 방식은 효과를 발휘하기 어렵게 된다.
클라우드플레어의 ‘트라이클라우드플레어(TryCloudflare)’ 기능은 임시 터널을 생성하여 원격 자원에 안전하게 접근할 수 있도록 설계되었다. 이 서비스는 원래 보안 강화를 위해 IP 주소를 노출하지 않고 VPN 연결을 설정할 필요를 없애기 위해 고안되었지만, 사이버 범죄자들이 이를 악용해 멀웨어를 배포하고 있다.
분석된 내용에 따르면, 공격단계는 다음과 같다.
▲피싱 이메일 전송: 여러 언어(영어, 프랑스어, 스페인어, 독일어)로 작성된 피싱 이메일이 URL 또는 첨부 파일을 포함하여 악성 페이로드로 연결된다.
▲초기 페이로드 다운로드: URL 또는 첨부 파일은 인터넷 바로 가기(.URL) 파일을 다운로드하며, 실행되면 WebDAV를 통해 외부 파일 공유에 연결하여 LNK 또는 VBS 파일을 다운로드한다.
▲스크립트 실행: LNK/VBS 파일이 실행되면 BAT 또는 CMD 스크립트를 실행하여 파이썬 설치 패키지와 여러 파이썬 스크립트를 다운로드한다.
▲최종 페이로드 설치: 이러한 스크립트는 추가 명령을 실행하여 최종 RAT 페이로드를 피해자의 시스템에 설치한다. 일부 경우에는 사용자가 악성 활동을 감추기 위해 미끼 PDF가 표시된다.
한편 처음에는 스크립트에 난독화가 거의 없었지만, 2024년 6월 이후 난독화된 스크립트가 급격히 증가하여 보안 도구가 악성 활동을 탐지하기 어렵게 만들었다.
그리고 캠페인은 다양한 유형의 악성 소프트웨어를 배포했으며, 각기 다른 파이썬 스크립트는 서로 다른 RAT를 설치하도록 설계되었다.
보안 모니터링 도구를 우회하고 탐지를 피하기 위해 직접적인 시스템 호출, 셸코드 복호화, Early Bird APC 큐 주입과 같은 기술이 사용된 것으로 드러났다.
▲2024년 5월 28일 공격 사례
이 캠페인은 법률 및 금융 기관을 대상으로 세금 테마의 이메일을 사용했다. 50개 미만의 메시지를 배포하며, URL은 압축된 .URL 파일로 연결되었다. 이러한 파일이 실행되면 AsyncRAT 및 Xworm을 다운로드 및 설치하게 된다.
▲2024년 7월 11일 공격 사례
금융, 제조, 기술 부문을 대상으로 하는 대규모 캠페인으로, 1,500개 이상의 메시지를 배포했다. 이 캠페인은 검색-ms 쿼리가 포함된 HTML 첨부 파일을 사용하여 LNK 파일로 연결되었다. 이러한 파일은 파이썬 패키지와 스크립트를 다운로드하여 AsyncRAT 및 Xworm을 실행하는 난독화된 BAT 스크립트를 실행하게 했다.
이러한 공격에 대해 보안전문가들이 권고하는 방어 조치로는 다음과 같다.
외부 파일 공유 서비스에 대한 접근을 제한하고, 확인된 안전한 서버만 허용해야 하며, 비정상적인 활동, 예를 들어 일시적인 터널 생성 등을 탐지하기 위해 강력한 네트워크 모니터링을 구현해야 한다.
그리고 피싱 전술과 이메일 및 첨부 파일의 진위 여부를 확인하는 것의 중요성에 대해 직원들을 교육해야 하고, 스크립트 실행 제한과 특정 업무 기능에 필요하지 않는 한 파이썬 사용 제한 등의 엄격한 보안 정책을 시행해야 한다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★