맬버타이징 조사를 통해 발견된 LOBSHOT 맬웨어
Elastic Security Labs 연구원들은 최근 맬버타이징 캠페인의 증가에 대한 철저한 조사 중에 LOBSHOT 이라는 새로운 맬웨어를 발견했습니다. LOBSHOT은 위협 행위자에게 숨겨진 VNC(Virtual Network Computing) 액세스 권한을 부여하기 때문에 특히 관심이 있습니다. 연구원들은 또한 다양한 랜섬웨어 및 뱅킹 트로이 목마를 배포하는 것으로 알려진 재정적 동기가 부여된 사이버 범죄 그룹인 TA505와 멀웨어 사이의 연관성을 발견했습니다.
목차
멀버타이징 캠페인 급증
맬버타이징 캠페인의 수가 증가하고 있으며 은밀한 특성으로 인해 사용자가 합법적인 광고와 악성 광고를 구별하기 어렵습니다. 보안 연구원들은 이러한 증가가 MaaS(Malvertising-as-a-Service)를 판매하는 위협 행위자 때문일 수 있음을 관찰했으며, 온라인 광고와 상호 작용할 때 주의를 기울여야 하는 중요성을 더욱 강조했습니다.
Elastic Security Labs는 연구 전반에 걸쳐 널리 사용되는 애플리케이션의 특정 취약성을 표적으로 삼기 위해 익스플로잇 킷을 활용하는 맬버타이징 캠페인이 눈에 띄게 급증하는 것을 관찰했습니다. 이러한 캠페인은 여러 유명 웹사이트에서 점점 더 많이 관찰되어 수백만 명의 사용자를 잠재적인 위협에 노출시킵니다. 일반적으로 이러한 웹 사이트 방문자는 클릭 시 LOBSHOT이 결국 사용자 장치에서 실행되는 익스플로잇 키트 랜딩 페이지로 리디렉션되는 악성 광고를 보게 됩니다.
TA505 인프라
LOBSHOT의 개발 및 배포 배후로 의심되는 사이버 범죄 그룹 인 TA505 는 오랫동안 광범위한 악의적 활동으로 인식되어 왔습니다. 이 그룹은 잘 조직되고 다양한 범위의 공격 캠페인으로 유명하며, 특히 금융 기관을 주요 대상으로 삼고 악의적인 활동을 다른 산업으로 확장합니다.
LOBSHOT을 분석한 후 Elastic Security Labs는 맬웨어의 인프라와 이전에 식별된 TA505 인프라 사이에 분명한 중첩이 있음을 발견했습니다. 공격 방법론과 중복되는 인프라의 유사성은 TA505가 LOBSHOT의 개발 및 적극적인 사용을 담당한다는 가설에 신빙성을 부여합니다.
숨겨진 VNC 액세스
LOBSHOT의 가장 우려되는 측면 중 하나는 위협 행위자에게 VNC를 통해 피해자의 장치에 대한 숨겨진 액세스 권한을 부여하는 기능입니다. 이 특정 기능을 통해 공격자는 사용자 동의를 우회하면서 감염된 장치에 대한 원격 액세스 권한을 얻을 수 있으므로 사용자 모르게 중요한 데이터를 모니터링, 조작 및 유출할 수 있습니다. 숨겨진 VNC 액세스는 LOBSHOT을 사이버 범죄자, 특히 금전적 동기가 있는 범죄자의 무기고에서 강력하고 위험한 도구로 만듭니다.
배포 방법
LOBSHOT 맬웨어의 배포 방법은 의심하지 않는 피해자를 유인하기 위해 Google Ads 및 가짜 웹사이트를 활용하는 기만적인 전술을 포함하는 것으로 관찰되었습니다. 이러한 기술은 이 멀웨어 배후에 있는 위협 행위자의 정교함과 적응성을 더욱 보여주므로 최종 사용자가 광고를 탐색하고 클릭할 때 주의하는 것이 더욱 중요해집니다.
Google Ads를 통한 가짜 웹사이트
LOBSHOT이 배포되는 주요 방법 중 하나는 Google Ads를 통해 홍보되는 가짜 웹사이트를 사용하는 것입니다. 위협 행위자는 합법적인 웹사이트 및 서비스를 모방하도록 설계된 이러한 위조 웹사이트를 만들고 유지합니다. 공격자는 Google Ads 플랫폼을 악용하여 의심하지 않는 사용자에게 악의적인 광고를 표시할 수 있습니다. 사용자는 광고가 진짜라는 인상을 받고 광고를 클릭할 수 있으므로 장치에 LOBSHOT 맬웨어가 설치됩니다.
사용자를 가짜 AnyDesk 도메인으로 리디렉션
가짜 웹사이트를 사용하는 것 외에도 LOBSHOT 맬웨어의 배포 프로세스에는 사용자를 위조된 AnyDesk 도메인으로 리디렉션하는 작업도 포함됩니다. AnyDesk는 많은 기업과 개인이 원격 액세스 및 지원을 위해 의존하는 인기 있는 원격 데스크톱 애플리케이션입니다. 위협 행위자는 가상의 AnyDesk 도메인을 생성하여 사용자가 소프트웨어의 악성 버전(실제로는 LOBSHOT 맬웨어)을 다운로드하도록 속임으로써 이 신뢰를 이용했습니다. 이 방법은 이러한 사이버 범죄자가 피해자를 유인하고 악의적인 활동을 실행하기 위해 사용하는 교활한 전술을 더욱 강조합니다.
손상된 시스템을 통한 설치
경우에 따라 손상된 시스템을 통해 LOBSHOT 맬웨어가 피해자의 장치에 설치될 수 있습니다. 이는 사용자가 맬웨어에 감염된 웹 사이트를 무의식적으로 방문하거나 콘텐츠를 다운로드하거나 스피어 피싱 캠페인의 대상이 된 경우에 발생할 수 있습니다. 맬웨어가 피해자의 장치에 성공적으로 침투하면 위협 행위자에게 숨겨진 VNC 액세스 권한을 부여할 수 있습니다. 그러면 원하는 대로 시스템을 원격으로 제어하고 조작할 수 있습니다.
LOBSHOT의 기능
LOBSHOT 맬웨어는 사용자 장치에 침투하고 악용하는 데 능숙하게 만드는 다양한 강력한 기능을 자랑합니다. 이 악성코드는 주로 숨겨진 가상 네트워크 컴퓨팅(hVNC)에 집중하여 공격자가 감염된 장치를 원격으로 제어하고 사용자 인터페이스에 액세스할 수 있도록 합니다. LOBSHOT의 핵심 기능은 다음과 같습니다.
숨겨진 가상 네트워크 컴퓨팅(hVNC)
LOBSHOT 기능의 핵심은 피해자 장치에 숨겨진 VNC 액세스를 제공하는 기능입니다. hVNC를 통해 공격자는 피해자의 동의나 인지 없이 장치를 원격으로 제어할 수 있는 은밀한 방법을 부여받습니다. hVNC 기능은 LOBSHOT을 특히 위험하게 만듭니다. 나쁜 행위자가 다양한 악의적인 활동을 수행하는 동안 손상된 장치에서 은밀한 존재를 유지할 수 있기 때문입니다.
장치의 원격 제어
LOBSHOT의 hVNC 기능을 통해 공격자는 마치 합법적인 사용자인 것처럼 명령을 실행하고 변경하고 리소스에 액세스하여 감염된 장치를 완전히 제어할 수 있습니다. 이러한 수준의 제어를 통해 공격자는 데이터 유출, 추가 맬웨어 설치, 스파이 캠페인 수행 등 광범위한 악의적인 활동을 수행할 수 있습니다. 피해자의 장치를 원격으로 제어할 수 있는 능력은 LOBSHOT이 제기하는 중대한 위협을 강조합니다.
전체 그래픽 사용자 인터페이스(GUI)
또한 악성코드는 대상 장치의 전체 그래픽 사용자 인터페이스(GUI)에 액세스할 수 있으므로 공격자가 장치의 데스크톱 환경과 시각적으로 상호 작용할 수 있습니다. 이 기능은 공격자가 손상된 장치를 더 쉽게 탐색하고 조작할 수 있도록 함으로써 악성 코드에 또 다른 효율성 및 제어 계층을 추가합니다. 전체 GUI에 대한 액세스를 통해 공격자는 사용자 활동을 모니터링하고 민감한 정보에 액세스하고 합법적인 사용자에게 귀속된 작업을 수행할 수 있으므로 LOBSHOT의 위험성이 더욱 강조됩니다.
완화 및 우려 사항
LOBSHOT 맬웨어는 숨겨진 VNC 기능과 TA505와 같은 금전적 동기가 있는 위협 행위자와의 연관성으로 인해 개인 사용자와 조직 모두에게 심각한 우려를 나타냅니다. 이러한 문제를 완화하고 해결하려면 잠재적인 위험을 이해하고 적절한 방어 조치를 구현하고 Google Ads와 같은 플랫폼에 대한 더 엄격한 규정을 요구해야 합니다.
은행 및 금융 정보 도용
LOBSHOT을 둘러싼 주요 관심사 중 하나는 감염된 장치에서 은행 및 금융 정보를 훔칠 가능성입니다. 숨겨진 VNC 액세스를 통해 공격자는 탐지되지 않은 장치에 침투하고, 사용자 활동을 모니터링하고, 로그인 자격 증명, 계정 번호 및 거래 세부 정보와 같은 민감한 데이터를 캡처할 수 있습니다. 이러한 정보는 경제적 이익을 위해 악용되거나 크리덴셜 스터핑 또는 피싱 캠페인과 같은 추가 공격에 사용될 수 있습니다.
Google에 대한 더 엄격한 광고 규제 요구
Google Ads를 통한 맬웨어 배포 위협이 증가함에 따라 여러 연구원과 보안 전문가는 Google의 지주 회사인 Alphabet에 광고 승인에 대해 보다 엄격한 규정을 적용할 것을 요청했습니다. 보다 강력한 광고 심사 프로세스 및 확인 메커니즘을 구현하면 LOBSHOT과 같은 맬웨어의 확산을 최소화하고 의심하지 않는 사용자가 이러한 위협의 희생양이 될 위험을 줄일 수 있습니다. 그동안 최종 사용자는 방문 중인 도메인과 다운로드 중인 소프트웨어의 합법성을 확인하여 예방 조치를 취해야 합니다.