웹센스, 6만개 이상 이메일 유인 발견

지능형 사이버 공격(APT) 및 데이터 유출의 글로벌 기업인 웹센스(Websense)가 영국 로열 베이비 기사를 이용한 지능형 타깃 공격을 소개했다.

최근 영국 왕실 서열 3위의 로열 베이비가 탄생했다. 영국 국민들이 기뻐하는 동안 사이버 범죄자들은 뉴스에 편승해 다양한 악의적인 캠페인을 제공했고 로열 베이비 관련 기사는 APT 공격의 유인에 사용됐다.

웹센스에 의하면 해당 지능형 공격은 데이터 유출을 목표로 총 7단계에 걸쳐 발생했다. 해커 공격의 1단계인 정찰(Reconnaissance) 단계에서 공격자는 사람들의 관심을 끄는 새로운 이야기를 활용해 악의적인 캠페인을 제공하기 위한 방법을 찾는다.

제 2단계인 유인(Lures) 단계에서 이메일을 보내며 악성코드가 숨어있는 파일을 첨부한다. 웹센스 ThreatSeeker는 한 시간 동안에 동일 제목으로 된 6만개 이상의 '로열 베이비 라이브 업데이트' 관련 이메일 유인을 발견했다. 모든 링크는 악의적인 웹으로 연결되고 3단계인 리다이렉트(Redirects) 과정에서는 악의적인 사이트가 가짜 어도비 플래시 플레이어 업데이틀 설치하도록 사회적 공학 방법을 이용했다.

제 4단계에서는 취약점 공격 키트가 설치되며 5단계에서는 드로퍼 파일 및 다운로더 파일이 PC안에 추가 악성 페이로드 설치에 사용된다. 컴퓨터에 악의적인 페이로드가 설치되면 6단계인 콜 홈(call home) 통신을 시도하고 캠페인을 가장한 해커의 명령을 수행하기 위해 C&C 인프라에 접속한다.

마지막 7단계는 개인 식별 정보, 회사 기밀 데이터 또는 잠재적인 로열 베이비 이름의 목록 등이 일반적인 공격자의 최종 목표가 된다.

이상혁 웹센스코리아 지사장은 "웹센스는 이러한 7단계 지능형 공격에 각 단계별로 방어할 수 있는 기술을 제공한다"며 "웹센스 시큐리티 랩(WSL)과 ThreatSeeker는 범죄 커뮤니티에 대한 정찰을 수행하고 웹센스 솔루션은 이메일, 웹/소셜 미디어 유인을 차단한다"며 "웹센스의 웹 보안 솔루션은 웹센스 ACE를 사용해 악의적인 웹 리다이렉트를 차단하고 알려지지 않은 취약점 공격 및 드로퍼 파일을 식별하고 차단한다. 또한 C&C 의 알려진 사이트와 알려지지 않은 프로토콜을 인식하며 사이버 범죄자들의 최종 목표인 데이터를 완벽하게 보호할 수 있도록 웹, 이메일, 및 다양한 네트워크 채널 뿐만 아니라 엔드포인트까지 통합 솔루션을 제공한다"고 전했다.