SNOW Malware
이전에 보고되지 않았던 UNC6692라는 새로운 위협 클러스터가 Microsoft Teams를 통해 정교한 소셜 엔지니어링 기법을 활용하여 SNOW 멀웨어라는 맞춤형 멀웨어 프레임워크를 배포하는 것으로 확인되었습니다. 공격자들은 IT 헬프데스크 담당자를 사칭하여 외부 계정에서 온 채팅 초대를 수락하도록 유도합니다.
이러한 기만 행위는 조직적인 이메일 폭탄 공격으로 더욱 강화되는데, 피해자들에게 스팸 메시지를 대량으로 보내 긴급성과 혼란을 조성합니다. 그 직후 공격자는 IT 지원 담당자를 사칭하여 Teams를 통해 연락을 취하고, 조작된 문제를 해결해 주겠다고 제안합니다. 이러한 이중적인 조작 전술은 사용자의 순응 가능성을 크게 높입니다.
목차
전통적인 전술, 현대적인 영향력
이번 공격 패턴은 과거 블랙 바스타 계열 조직들이 사용했던 수법과 유사합니다. 해당 조직이 랜섬웨어 공격을 중단했음에도 불구하고, 그들의 공격 방식은 여전히 유효합니다. 보안 연구원들은 이러한 접근 방식이 주로 임원 및 고위 관계자를 표적으로 삼아 네트워크 접근을 시도하고, 이를 통해 데이터 유출, 네트워크 내 이동, 랜섬웨어 배포 및 금전적 갈취로 이어지는 것을 확인했습니다. 관찰된 사례에서 공격자가 시작한 채팅은 불과 몇 초 간격으로 발생하여 자동화 및 조직적인 공격임을 시사합니다.
기만적인 진입점: 가짜 해결책
퀵 어시스트(Quick Assist)나 수프리모 원격 데스크톱(Supremo Remote Desktop)과 같은 원격 관리 도구에만 의존하는 기존 공격과는 달리, 이번 공격은 변형된 감염 경로를 사용합니다. 피해자는 팀즈(Teams)를 통해 공유된 '사서함 복구 및 동기화 유틸리티 v2.1.5'로 위장한 피싱 링크를 클릭하도록 유도됩니다.
해당 링크를 클릭하면 공격자가 관리하는 클라우드 스토리지 서비스에 저장된 악성 AutoHotkey 스크립트가 다운로드됩니다. 게이트키퍼 메커니즘을 통해 의도된 대상에게만 페이로드가 전달되도록 하여 자동 보안 분석을 회피합니다. 또한, 스크립트는 브라우저 사용 여부를 확인하고 지속적인 경고를 통해 Microsoft Edge 사용을 강제하여 후속 악성 구성 요소와의 호환성을 확보합니다.
스노우벨트: 조용한 브라우저 백도어
초기 스크립트는 악성 크로미움 기반 브라우저 확장 프로그램인 SNOWBELT를 배포하기 전에 정찰 작업을 수행합니다. 특정 명령줄 매개변수를 사용하여 헤드리스 Edge 프로세스를 통해 설치되는 SNOWBELT는 은밀한 백도어 역할을 합니다. 이를 통해 SNOWGLAZE, SNOWBASIN, 추가 AutoHotkey 스크립트, 그리고 휴대용 Python 환경이 포함된 압축 아카이브 등 여러 페이로드를 다운로드할 수 있습니다.
동시에 피싱 인터페이스는 '상태 점검' 기능을 갖춘 '구성 관리 패널'을 표시합니다. 이 인터페이스는 인증을 가장하여 사용자에게 사서함 자격 증명을 입력하도록 유도하지만, 실제로는 민감한 데이터를 캡처하여 공격자가 제어하는 인프라로 유출합니다.
모듈형 악성코드 생태계: SNOW 프레임워크 분석
SNOW 멀웨어 제품군은 지속성, 제어 및 은밀성을 위해 설계된 조정되고 모듈화된 생태계로 작동합니다.
- SNOWBELT는 자바스크립트 기반 명령 중계기 역할을 하며, 공격자로부터 명령을 수신하여 실행을 위해 전달합니다.
- SNOWGLAZE는 파이썬 기반 터널링 유틸리티로, 침해된 네트워크와 공격자의 명령 및 제어 서버 간에 안전한 WebSocket 연결을 설정합니다.
- SNOWBASIN은 영구적인 백도어 역할을 하며, 원격 명령 실행, 파일 전송, 스크린샷 캡처 및 자체 삭제 기능을 제공하는 동시에 여러 포트에서 로컬 HTTP 서버로 작동합니다.
사후 활용: 통제력 확대 및 데이터 추출
초기 침해 이후, 공격자는 접근 권한을 심화하고 귀중한 정보를 추출하기 위해 일련의 조치를 실행합니다.
네트워크 정찰은 주요 포트를 스캔한 후, 관리 도구와 손상된 시스템을 통해 터널링된 원격 데스크톱 세션을 사용하여 측면 이동을 수행하는 방식으로 이루어집니다.
권한 상승은 민감한 프로세스 메모리를 추출하여 자격 증명을 획득하고 상위 시스템에 무단으로 접근함으로써 이루어집니다.
Pass-the-Hash와 같은 고급 기술을 사용하여 도메인 컨트롤러를 침해한 후, 포렌식 도구를 배포하여 디렉터리 데이터베이스를 포함한 민감한 데이터를 수집하고 파일 전송 유틸리티를 사용하여 이를 유출합니다.
클라우드 위장: 악성 트래픽을 합법적인 서비스로 위장하기
이 캠페인의 핵심 특징은 신뢰받는 클라우드 인프라를 전략적으로 악용한다는 점입니다. 악성 페이로드, 데이터 유출, 명령 및 제어 통신이 모두 합법적인 클라우드 플랫폼을 통해 이루어집니다. 이러한 접근 방식을 통해 위협 활동이 정상적인 기업 트래픽에 자연스럽게 섞여 들어가 평판 기반 또는 이상 탐지 기반의 기존 보안 필터를 효과적으로 우회할 수 있습니다.
변화하는 위협 환경: 신뢰가 주요 공격 목표
UNC6692 캠페인은 소셜 엔지니어링, 기업에서 신뢰하는 도구, 모듈형 악성코드를 결합한 사이버 공격 전략의 상당한 진화를 보여줍니다. 공격자들은 널리 사용되는 플랫폼과 서비스에 대한 사용자 신뢰를 악용하여 탐지를 최소화하면서 성공률을 높입니다. 기존 전술의 지속적인 사용과 혁신적인 전달 메커니즘의 결합은 중요한 현실을 시사합니다. 즉, 효과적인 공격 전략은 최초 공격자가 사라진 후에도 오랫동안 지속될 수 있다는 것입니다.
