요약 : 보안 외신 블리핑컴퓨터에 의하면 사이버 공격자들이 트라이클라우드플레어(TryCloudflare)라는 무료 서비스를 활용해 멀웨어를 퍼트리고 있다고 한다. 주로 퍼지고 있는 건 각종 ‘원격 접근 트로이목마(RAT)’로, 에이싱크랫(AsyncRAT), 구로더(GuLoader), 베놈랫(VenomRAT), 렘코스랫(Remcos RAT), 엑스웜(Xworm)인 것으로 알려져 있다. 보안 업체 프루프포인트에 의하면 공격자들은 트라이클라우드플레어를 통해 임시 IP 주소를 공개하지 않은 채 무작위 서브도메인을 만들 수 있으며, 이를 통해 트래픽을 자신들이 설정한 로컬 서버로 우회시킬 수 있게 된다고 한다. 과거에도 트라이클라우드플레어가 악용된 사례가 존재한다.


배경 : 트라이클라우드플레어는 클라우드플레어(Cloudflare)라는 유료 서비스에 가입하지 않고도 일부 기능을 잠시 써볼 수 있게 해 주는 서비스다. 로컬 서버와 클라우드플레어라는 클라우드를 연결시켜주는 터널을 임시로 사용해볼 수 있게 하는 건데, 그럴 때 trycloudflare.com이라는 신뢰성 높은 도메인을 기반으로 하는 서브도메인들이 생성된다. 과거에도 이런 서비스 특성을 악용해 피해자 시스템을 침해하려는 시도들이 있었다.

말말말 : “현재까지 공격자들은 법무, 금융, 제조, 기술 분야의 조직들을 주로 노리고 있는 것으로 분석됩니다. 자신들이 만든 서브도메인에 .lnk 파일을 호스팅해 둔 채 사람들을 유인해 해당 파일을 다운로드 받게 하는 것으로 공격이 시작됩니다.” -프루프포인트(Proofpoint)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>