해커들, Microsoft Teams을 이용해 악성 소프트웨어 배포

최근의 사이버 보안 위반 사례에서는 사회 공학 공격이 어떻게 피해자의 시스템에 DarkGate 악성 프로그램을 배포할 수 있게 했는지를 보여주었습니다. 이 공격은 마이크로소프트 팀즈를 통한 음성 피싱(vishing)을 이용하였습니다.

트렌드마이크로의 관리 감지 및 대응(MDR)팀이 분석한 이 공격은 사이버 위협의 진화하는 특성과 강력한 방어 전략의 중요성을 강조합니다. 공격은 피해자가 수천 통의 이메일을 받은 후, 마이크로소프트 팀을 통해 고객 대표로 가장한 공격자가 전화를 걸어 시작되었습니다.

모방범은 피해자에게 마이크로소프트 원격 지원 애플리케이션을 다운로드하도록 지시했지만, 이 설치 시도가 실패하자, 범인은 성공적으로 피해자를 설득하여 합법적인 원격 데스크톱 도구인 AnyDesk를 다운로드하게 했습니다.

그 후, 범인은 피해자가 자신의 인증 정보를 입력하도록 안내하여 시스템에 무단 접근을 허용했습니다.

시스템 내부에 들어간 공격자는 여러 의심스러운 파일들을 남겼고, 그 중 하나는 Trojan.AutoIt.DARKGATE.D로 식별되어 일련의 명령을 시작했습니다. 이로 인해 잠재적인 명령 및 제어(C&C) 서버와 연결되어, 공격자가 추가로 악의적인 행동을 실행할 수 있게 되었습니다.

데이터 유출이 일어나기 전에 공격이 중단되었지만, 이는 원격 접근 관리와 소셜 엔지니어링 전략의 여러 취약점을 강조하였습니다.

공격자는 AutoIt 스크립트를 사용하여 피해자의 기계를 원격 제어하였으며, 시스템 정보를 수집하고 더욱 지속적인 피해를 입힐 수 있도록 명령을 실행하였습니다.

특히, AutoIt3.exe 프로세스는 추가적인 악성 소프트웨어를 다운로드하는 일련의 명령을 실행하였으며, 외부 IP와 연결을 시도하는 스크립트 등이 포함되어 있었습니다. 이 악성 소프트웨어는 안티바이러스 제품을 찾아서 탐지를 회피하고, 그 존재를 숨기기 위해 여러 무작위 파일을 생성하는 것으로 설계되었습니다.

공격의 최종 목표는 마지막 다크게이트(DarkGate) 페이로드의 설치였습니다. 이 페이로드가 설치되면 공격자는 피해자의 시스템을 추가로 제어하고, 민감한 데이터를 유출할 수도 있었습니다. 그러나 이 공격은 시간 적으로 탐지되어, 공격자가 그들의 목표를 달성하는 것을 방지했습니다.

이러한 공격에 대비하기 위해, 전문가들은 기관들이 제3자 기술 지원 공급자를 철저히 심사할 것을 권장합니다. AnyDesk와 같은 원격 액세스 도구는 화이트리스트에 등록되어 모니터링되어야하며, 다중 요소 인증(MFA)이 활성화되어 있어야 무단 액세스를 방지할 수 있습니다.

게다가, 직원들은 사회 공학 전략과 피싱 시도를 인식하는 정기적인 교육을 받아야 합니다. 이것들은 여전히 사이버 공격의 주요 경로입니다.