Havoc Phishing Attack
사이버 보안 조사관들은 오픈소스 명령 및 제어(C2) 프레임워크인 Havoc을 배포하기 위해 ClickFix 기술을 활용하는 새로운 피싱 캠페인을 발견했습니다. 공격자는 SharePoint 사이트 뒤에 맬웨어 단계를 교묘하게 숨기고, Microsoft Graph API와 함께 Havoc Demon의 수정된 버전을 사용하여 합법적인 서비스 내의 통신을 위장합니다.
목차
피싱 함정: 사기성 이메일과 ClickFix 조작
공격은 Documents.html이라는 HTML 첨부 파일이 포함된 피싱 이메일로 인해 발생합니다. 파일을 열면 피해자가 변조된 PowerShell 명령을 복사하고 실행하도록 조종하는 오류 메시지가 표시됩니다. ClickFix라고 알려진 이 기술은 사용자가 DNS 캐시를 수동으로 업데이트하여 OneDrive 연결 문제를 해결해야 한다고 믿게 속입니다.
대상자가 속임수에 걸리면 공격자가 제어하는 SharePoint 서버에 연결하는 PowerShell 스크립트를 실행하여 실수로 감염 프로세스를 시작합니다.
다단계 맬웨어 배포: PowerShell에서 Python까지
안전하지 않은 PowerShell 스크립트가 실행되면 먼저 환경이 샌드박스되어 감지를 회피하는지 확인합니다. 안전하다고 간주되면 스크립트는 시스템에 아직 설치되지 않은 경우 Python('pythonw.exe')을 다운로드합니다.
거기서 두 번째 PowerShell 스크립트가 Python 기반 셸코드 로더를 페치하여 실행한 다음, C와 어셈블리로 작성된 반사 로더인 KaynLdr을 시작합니다. 이는 궁극적으로 손상된 머신에 Havoc Demon 에이전트를 배포합니다.
Havoc의 능력: 은밀한 사이버 무기
공격자는 Microsoft Graph API와 함께 Havoc을 사용하여 잘 알려진 신뢰할 수 있는 서비스 내에서 C2 트래픽을 숨깁니다. Havoc의 기능은 다음과 같습니다.
- 정보 수집
- 파일 작업
- 명령 실행
- 페이로드 실행
- 토큰 조작
- 케르베로스 공격
PayPal 사용자를 타겟팅하기 위해 악용된 Google 광고
별도로 발생했지만 우려스러운 사건으로, 사이버 보안 전문가들은 위협 행위자들이 Google Ads 정책을 악용해 PayPal 사용자를 대상으로 사기성 광고를 하는 것을 발견했습니다.
이러한 전술은 합법적인 PayPal 지원 페이지를 사칭하고 사용자를 속여 가짜 고객 서비스 번호로 전화를 걸게 함으로써 작동합니다. 목표는 피해자가 합법적인 PayPal 담당자와 통화하고 있다고 설득하여 피해자의 개인 및 금융 정보를 수집하는 것입니다.
Google 광고 허점: 사기꾼의 놀이터
이러한 기술 지원 전략의 성공은 Google Ads 정책의 허점에 달려 있으며, 이를 통해 악의적인 행위자가 잘 알려진 브랜드를 사칭할 수 있습니다. 랜딩 페이지(최종 URL)와 표시 URL이 동일한 도메인과 일치하는 한 사기꾼은 설득력 있는 가짜 광고를 만들 수 있습니다.
사이버범죄자들은 인기 있는 검색어, 특히 고객 지원 및 계정 복구와 관련된 검색어를 빠르게 악용해 사기성 광고가 검색 결과 상단에 나타나도록 합니다.
결론: 위협 환경의 증가
ClickFix 기반 피싱 캠페인부터 Google Ads 남용까지 사이버 범죄자들은 소셜 엔지니어링 전략을 지속적으로 개선하고 있습니다. 이러한 위협은 진화하는 사이버 공격으로 인한 위험을 완화하기 위해 경계, 사용자 인식 및 향상된 보안 조치의 중요성을 강조합니다.
