• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

고스트라이터 캠페인 운영자들, 최신식 피싱 기법인 BitB까지 활용해 2022.04.01

벨라루스를 근거지로 삼고 있는 해킹 단체가 최신 기술을 익혀서 공격을 실시하고 있다. 바로 ┖브라우저 인더 브라우저┖ 공격이다. 게다가 근처에서 일어나고 있는 러시아-우크라이나 전쟁까지도 피싱 미끼로 적극 활용한다. 이들의 적응력과 기민함이 놀랍다.

[보안뉴스 문가용 기자] 벨라루스를 근거지로 하여 활동하는 해킹 조직들 중 고스트라이터(Ghostwriter)라고 불리는 자들이 있다. 이들은 유럽에 가짜뉴스와 허위 정보를 살포하는데, 이런 캠페인 자체도 고스트라이터라고 부른다. 그런데 최근 이들이 새로운 피싱 기법을 사용하기 시작했다. 이 새 공격 기법에 우크라이나 조직들이 이미 피해를 입고 있는 중이라고 한다.

[이미지 = utoimage]


이들이 사용하는 새로운 기법이란 다름이 아니라 ┖브라우저 인 더 브라우저(Browser in the Browser, BitB)┖라는 것으로, 이번 달 초 한 보안 전문가가 발견해 경고한 바 있다. 브라우저 안에 또 다른 브라우저 창을 띄워 피싱 페이지가 진짜처럼 보이게 하는 것인데, 주로 싱글사인온을 사용해 로그인을 할 때 팝업창이나 작은 브라우저 창이 나타난다는 걸 악용하는 것이다. 예를 들어 ┖구글로 로그인┖이라는 싱글사인온 옵션을 선택하면 구글 로그인 창이 뜨는 것은 누구나 흔히 봤을 것이다. 공격자들이 이것과 똑같은 창을 띄워 크리덴셜을 수집하는 것이 바로 BitB 공격이다.

고스트라이터 공격자들이 이런 기법을 사용하기 시작했다는 걸 발견하고 경고한 건 구글의 위협분석그룹(Threat Analysis Group, TAG)이다. 공격자들은 이번에 러시아가 시작한 전쟁과 관련된 우크라이나 조직을 공격하기도 하고, 전쟁의 소식을 피싱 공격의 미끼로 쓰기도 한다고 TAG는 블로그를 통해 알렸다. "물론 고스트라이터가 이전부터 사용해 왔던 피싱 기법들도 여전히 사용되고 있습니다."

보안 플랫폼 버그크라우드(Bugcrowd)의 CTO 케이시 엘리스(Casey Ellis)는 "BitB는 원래 국가 지원 해커들 중 소수가 은밀히 활용해 오던 피싱 기법이었다"고 설명한다. "그래서 어지간해서는 언급되거나 연구되지 않았던 공격 기법이기도 했죠. 하지만 해커들의 실력과 기법이 꾸준히 상향평준화 되고 있다는 걸 생각하면, 아무리 소수만 사용하는 전략이나 기술이더라도 언급해서 분석해야 할 필요가 있습니다."

우크라이나의 경고
이미 우크라이나의 침해대응팀(CERT)과 보안 업체 맨디언트(Mandiant) 등은 고스트라이터 그룹이 우크라이나의 군 요원들과 관련 조직들을 겨냥해 대규모 크리덴셜 피싱 캠페인을 진행 중에 있다고 경고했었다. 구글의 TAG는 이란, 중국, 북한, 러시아의 국가 지원 해킹 그룹들과 다른 여러 사이버 범죄 단체들이 이번에 발발한 전쟁을 피싱 미끼로 사용하여 활발한 공격을 실시하고 있다고 경고하기도 했다.

현재까지 이번 전쟁과 관련한 사이버 공격 때문에 가장 많은 피해를 입은 건 우크라이나의 조직들이다. 하지만 미국과 그 동맹국들의 비영리 단체들, 군 및 정부 기관들 등에서도 일부 피해가 발견된 바 있다. 이런 대상들을 겨냥한 공격 중 일부는 중국 인민군과도 관련이 있는 것으로 의심이 되고 있다. 구글에 의하면 지난 2주 동안 러시아, 우크라이나, 몽골, 카자흐스탄의 군과 정부 조직들을 겨냥한 악성 캠페인을 펼쳤다고 한다.

그 다음으로 주목이 되는 건 콜드라이버(Coldriver) 혹은 칼리스토(Calisto)라는 러시아의 해킹 단체다. 구글의 TAG는 "콜드라이버가 최근 미국의 싱크탱크들과 NGO, 우크라이나의 국방 관련 조직과 발칸 국가 한 곳의 군 조직을 겨냥해 크리덴셜 피싱 캠페인을 진행했다"고 한다. 구글은 앞으로도 계속해서 러시아-우크라이나 전과 관련된 사이버전 행위를 모니터링 할 것이라고 밝혔다. 구글은 얼마 전인 3월 7일 러시아의 APT28과 벨라루스의 UNC1151, 중국의 무스탕판다(Mustang Panda)의 활동에 대해 공개한 바 있다.

엘리스는 "이번 전쟁은 피싱 미끼와 테마가 필요한 공격자들에게 있어 대단한 호재"라고 말한다. "코로나 초기 때도 공격자들은 각종 코로나 정보를 미끼로 삼아 피싱 공격을 실시했었습니다. 세계적이거나 사회적인 이슈가 되는 것들, 즉 사람들이 궁금해서 클릭해볼 만한 주제들은 반드시라도 해도 될 만큼 공격자들이 피싱 공격에 이용합니다. 그걸 꼭 기억해야 합니다."

3줄 요약
1. 벨라루스의 고스트라이터 공격자들, 최신식 국제 이슈와 피싱 기술까지 활용해 공격.
2. 최신식 피싱 기술이란 BitB로, 이번 달 초 한 보안 전문가 통해 공개된 것.
3. 공격자들은 신기술도 빠르게 배우고, 최신 소식도 피싱 미끼로 활발히 이용할 줄 앎.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>