MixShell 맬웨어

사이버 보안 연구원들이 '집라인(ZipLine)'이라는 코드명의 정교한 소셜 엔지니어링 공격을 발견했습니다. 이 공격은 믹스셸(MixShell)이라는 은밀한 인메모리 악성코드를 이용합니다. 이 캠페인은 주로 공급망에 중요한 제조업체를 대상으로 하며, 공격자들이 기존의 피싱 방식보다는 신뢰할 수 있는 비즈니스 워크플로우를 악용하는 추세가 증가하고 있음을 보여줍니다.

연락처 양식에서 타협까지

원치 않는 이메일을 통해 전파되는 기존의 피싱 공격과는 달리, ZipLine 운영자들은 회사의 '문의하기' 양식을 통해 침투를 시작합니다. 이러한 미묘한 접근 방식은 처음부터 신뢰도를 구축합니다. 이후 공격자들은 MixShell이 포함된 악성 ZIP 아카이브를 배포하기 전에, 수주에 걸쳐 전문적이고 설득력 있는 의사소통을 주고받으며, 종종 조작된 기밀 유지 계약으로 이를 강화합니다.

이러한 환자 신뢰 구축 전략은 ZipLine을 공포 기반 공격과 차별화합니다. 경우에 따라 공격자는 AI 기반 이니셔티브를 중심으로 접근 방식을 구축하여 비용 절감 및 효율성 향상에 도움을 줄 수 있는 파트너로 자처하기도 합니다.

조준선 안에 있는 사람은 누구인가?

ZipLine의 공격 대상은 광범위하지만, 공급망에 필수적인 산업 분야의 미국 기반 조직에 집중되어 있습니다. 싱가포르, 일본, 스위스 등도 영향을 받은 지역입니다.

주요 대상 분야는 다음과 같습니다.

• 산업 제조(기계, 금속 가공, 구성 요소, 엔지니어링 시스템)
• 하드웨어 및 반도체
• 생명공학 및 제약
• 소비재 생산

공격자들은 미국에 등록된 유한책임회사(LLC)를 모방한 도메인을 이용하며, 때로는 합법적이지만 활동이 없는 사업체의 도메인을 변형하기도 합니다. 이러한 복제된 웹사이트는 고도로 조직화된 대규모 작전을 시사합니다.

공격 체인의 해부학

ZipLine의 성공은 은밀하고 지속적인 활동을 위해 설계된 다단계 감염 프로세스에 있습니다. 무기화된 ZIP 아카이브는 일반적으로 합법적인 클라우드 서비스인 Herokuapp.com에 호스팅되어 맬웨어가 정상적인 네트워크 활동에 쉽게 침투할 수 있도록 합니다.

감염 과정에는 다음이 포함됩니다.

• ZIP 파일 내의 Windows 바로 가기(LNK)는 PowerShell 로더를 트리거합니다.

이전 위협 활동에 대한 링크

연구원들은 ZipLine 인프라에 사용된 디지털 인증서와 UNK_GreenSec이라는 위협 그룹의 소행으로 추정되는 TransferLoader 공격과 관련된 인증서 사이에 중복되는 부분을 발견했습니다. 정확한 배후는 아직 불확실하지만, 이러한 연관성은 대규모 공격에 대한 경험이 있는 조직적이고 수완 있는 공격자의 존재를 시사합니다.

ZipLine 캠페인의 위험

MixShell 감염이 성공할 경우 지적 재산권 침해, 기업 이메일 침해, 랜섬웨어 사고, 공급망 붕괴 등 심각한 결과를 초래할 수 있습니다. 공격 대상 산업의 특성을 고려할 때, 그 영향은 개별 기업을 넘어 전체 생산 생태계로 확산될 수 있습니다.

방어 조치: 사회적 공학적 위협에 앞서 나가기

ZipLine 캠페인은 사이버 범죄자들이 인간 심리, 신뢰할 수 있는 커뮤니케이션 채널, AI 관련 테마를 활용해 어떻게 혁신을 이루고 신뢰를 악용하는지 보여줍니다.

이러한 위협에 대응하려면 조직에서 다음을 수행해야 합니다.

• 비정상적인 행동을 감지할 수 있는 예방을 최우선으로 하는 방어 체계를 채택하세요.
• 직원들에게 어떤 채널을 사용하든 모든 수신 문의에 회의적인 태도로 접근하도록 교육하세요.
• 특히 ZIP 아카이브와 바로가기 파일에 대해 엄격한 파일 처리 정책을 시행합니다.
• 터널링을 나타낼 수 있는 DNS 기반 통신 이상에 대한 모니터링을 강화합니다.

경계하는 문화를 구축하는 것이 매우 중요합니다. 신뢰는 일단 무기화되면 공격자의 가장 효과적인 도구 중 하나가 됩니다.