Offcanvas

랜섬웨어 / 보안 / 악성코드 / 클라우드

시스코 탈로스, 퍼블릭 클라우드 활용한 맬웨어 캠페인 경고

2022.01.24 Brian Cheon  |  CIO KR
애저와 AWS와 같은 퍼블릭 클라우드를 이용해 나노코어(Nanocore), 넷와이어(Netwire), 에이싱크랫(AsyncRAT)을 확산시키는 맬웨어 캠페인이 포착했다고 시스코가 밝혔다.

시스코 탈로스의 보안 연구원 케탄 라푸푸라사드와 벤차 스바처는 탈로스 블로그를 통해 클라우드 서비스를 악의적인 목적으로 악용하는 공격의 최신 사례라고 말했다. 

설명에 따르면 해커들은 DuckDNS 동적 DNS 서비스를 사용하여 캠페인에 사용된 명령 및 제어 호스트의 도메인 이름을 변경해 위장했다. 해당 캠페인은 나노코어, 넷와이어, 에이싱크랫의 변종을 미국, 이탈리아, 싱가포르 지역에 지난 10월 26일부터 배포한 것으로 전해졌다. 이러한 변종에는 목표의 컴퓨터를 제어하여 명령을 내리고 정보를 훔칠 수 있는 여러 기능이 내장돼 있다는 설명이다. 

감염된 ZIP 파일이 포함된 피싱 이메일 이용해 공격 시작
연구원들은 초기 감염 벡터가 ZIP 아카이브가 중독된 피싱 이메일임을 발견했다. 아카이브에는 악성 스크립트가 포함된 ISO 이미지가 포함돼 있었다. 스크립트가 실행되면 애저 또는 AWS에서 호스팅되는 서버에 연결해 맬웨어를 다운로드하는 방식이었다. 

연구진은 “위협 행위자들이 클라우드 기술을 활용하는 동향이 증가하고 있다. 클라우드 서비스를 통해 공격자는 저렴하고 빠르게 인프라를 설정할 수 있다. 또 공격에 대한 추적이 더 어려워지기도 한다”라고 전했다. 

자동화 위협 관리 솔루션 벤더 벡트라의 올리버 타바콜리 CTO는 맬웨어 명령 및 제어를 위해 외부의 인프라를 사용하는 것이 완전히 새로운 것은 아니라고 전했다.

그는 “클라우드 이전 시대에도 외부 컴퓨팅 인프라에 침입하여 맬웨어를 배포하는 양태가 있었다. 이제 공격자들이 퍼블릭 클라우드 인프라를 이용하고 있다. 쉽게 블랙리스트에 올릴 수 없는 인프라를 임대하는 것이다”라고 말했다. 

클라우드 네이티브 네트워크 보안 서비스 벤더 발틱스의 수석 보안 연구원 데이비스 맥카시는 퍼블릭 클라우드에 대한 신뢰가 상황을 악화시킨다고 지적했다. 그는 “네트워크 방어자는 아마존이나 마이크로소프트가 소유한 IP 주소에 대한 통신이 무해하다고 생각할 수 있다. 이러한 통신은 수많은 서비스에서 너무 자주 발생하기 때문이다”라고 말했다. 

그는 이어 클라우드 서비스 기반 공격으로부터 보호하기 위해서는 알려진 클라우드 서비스 및 해당 네트워크 통신 동작에 대한 인벤토리를 생성할 필요가 있다고 주문했다. 

손나리 시큐리티의 에릭 케드로스키 CSO는 네트워크 활동을 지속적으로 모니터링하는 것이 중요하다고 강조했다. 그는 “방화벽, 안티바이러스 등과 같은 기존 방책에 의존하지 않아야 한다. 클라우드에서는 효과적이지 않다”라고 경고했다.

그는 이어 “클라우드의 모든 ID, 특히 사람이 아닌 ID와 모든 사람이 가지고 있는 권한에 대한 가시성을 확보해야 한다. 클라우드 서비스에 액세스할 수 있는 사람과 대상, 그리고 무엇을 할 수 있는지를 잠그는 것이 기본이다. 공격자가 과도한 권한을 부여받은 ID를 확보하면 클라우드를 효과적으로 사용할 수 있으며 탐지가 거의 불가능해진다”라고 말했다. ciokr@idg.co.kr
추천 테크라이브러리

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.