[데일리시큐]클라우드플레어 터널 악용한 새로운 피싱·멀웨어 캠페인 ‘SERPENTINE#CLOUD’ 전 세계 확산

내용 요약

사이버 공격자들이 Cloudflare Tunnel 인프라를 악용하여 악성 페이로드를 유포하는 새로운 피싱 캠페인(SERPENTINE#CLOUD)을 진행 중입니다. 이 공격은 피싱 이메일에 첨부된 ZIP 파일 내 LNK 파일을 통해 시작되며, 메모리 기반 악성코드 실행 기술을 사용하여 탐지를 어렵게 만듭니다. Securonix에서 이 캠페인을 발견하고 분석하여 경고를 발령했습니다.

핵심 포인트

• Cloudflare Tunnel 인프라 악용: 공격자들은 Cloudflare Tunnel을 이용하여 C2 통신을 숨기고 탐지를 회피합니다.
• 정교한 피싱 기법: 결제 또는 인보이스 관련 내용으로 위장한 피싱 이메일을 사용합니다.
• LNK 파일 악용: 첨부된 ZIP 파일에는 악성 LNK 파일이 포함되어 있습니다.
• 메모리 기반 악성코드 실행: 파일 시스템에 흔적을 남기지 않고 메모리에서 직접 악성코드를 실행합니다.
• Securonix의 발견 및 분석: 보안 업체 Securonix에서 이 캠페인을 'SERPENTINE#CLOUD'로 명명하고 분석 결과를 공개했습니다.

기술 세부 내용

1️⃣ Cloudflare Tunnel

• Cloudflare Tunnel은 조직의 내부 리소스를 Cloudflare 네트워크에 안전하게 연결하는 기술입니다.
• 공격자들은 이 기술을 악용하여 C2(Command and Control) 서버와의 통신을 숨기고 방화벽 등 보안 장치를 우회합니다.
• 외부에서 직접 내부 리소스에 접근하는 대신, Cloudflare 네트워크를 통해 통신이 이루어지므로 공격자의 IP 주소 추적이 어려워집니다. ➡️ ️‍♂️ 숨바꼭질!
• 이로 인해 보안팀은 공격을 탐지하고 대응하는 데 어려움을 겪게 됩니다.

2️⃣ LNK 파일 악용

• LNK(바로 가기) 파일은 Windows 운영체제에서 파일이나 프로그램에 대한 바로 가기를 생성하는 데 사용됩니다.
• 공격자들은 악성 스크립트가 포함된 LNK 파일을 이용하여 사용자 몰래 악성코드를 실행합니다.
• 사용자가 LNK 파일을 클릭하면 연결된 프로그램이 실행되는 것처럼 보이지만, 실제로는 악성 스크립트가 백그라운드에서 실행됩니다. ➡️ 몰래 실행!
• 이러한 방식은 사용자의 의심을 피하고 악성코드 감염 성공률을 높이는 데 효과적입니다.

3️⃣ 메모리 기반 악성코드 실행

• 메모리 기반 악성코드는 파일 시스템에 저장되지 않고 메모리에서 직접 실행됩니다.
• 이러한 특징 때문에 기존의 파일 기반 탐지 방식으로는 탐지가 어렵습니다. ➡️ 투명 악성코드!
• 공격자들은 PowerShell, WMI(Windows Management Instrumentation) 등 시스템 도구를 악용하여 메모리 기반 공격을 수행합니다.
• 메모리 분석 도구를 사용해야 탐지가 가능하며, 공격 흔적을 찾기 어려워 포렌식 분석에도 어려움을 야기합니다.

4️⃣ SERPENTINE#CLOUD 캠페인 분석 (Securonix)

• 보안 업체 Securonix는 이번 공격 캠페인을 SERPENTINE#CLOUD로 명명하고 분석 결과를 공개했습니다.
• 분석 결과에 따르면 공격자들은 고도화된 기술을 사용하여 탐지를 회피하고 공격 성공률을 높이는 데 주력했습니다.
• Securonix는 이러한 공격에 대한 대응 방안을 제시하고, 기업 및 개인 사용자들의 주의를 당부했습니다. ⚠️ 주의!
• 관련 IOC(Indicators of Compromise) 정보를 공유하여 다른 보안 업체와의 협력을 통해 공격 확산 방지에 힘쓰고 있습니다.

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=167155