이 모든 것은 평범한 화요일 아침, 받은 편지함으로 들어오는 평범한 이메일 몇 통에서 시작되었습니다. 종소리도 없고, 휘파람도 없고, 언뜻 보기에 눈썹을 찌푸리게 하는 것도 없었습니다. 하지만 익숙한 클라우드 서비스 로고와 세심하게 제작된 알림 뒤에는 혁신의 산물이자 AI로 구동되는 새로운 유형의 피싱 캠페인이 숨어 있었습니다. 이는 일반적인 피싱이 아니라 클라우드 네이티브 매복 공격으로, 기업 보안의 인적 계층을 직접적으로 위협하는 것이었습니다.
아리아카 위협 연구소는 Google 클라우드 스토리지(GCS)를 악용하여 사기성 리디렉터와 피싱 사이트를 호스팅하는 새로운 클라우드 기반 피싱 캠페인의 물결을 발견했습니다. 이러한 공격은 소셜 엔지니어링과 합법적인 클라우드 인프라의 오용을 결합하여 사용자가 Google 도메인에 대해 갖는 내재적 신뢰를 악용하여 금전적 동기를 가진 사기를 실행합니다.
이 캠페인은 위협 행위자들이 이메일 인증의 허점을 악용하여 기업의 방어 체계를 우회하는 방법을 강조합니다. 공격자는 SPF 검사를 통과했지만 DKIM 서명이 없고 취약한 DMARC 정책으로 강화된 메시지를 전송함으로써 수신자와 이메일 보안 시스템 모두에 정상적으로 보이는 이메일을 전달하여 침해 성공 가능성을 높일 수 있습니다.
아래에서 설명하는 것처럼 공격 모델에 대해 전반적으로 이해해 보겠습니다:
- 이메일 사칭: 공격자는 전문적인 메시지와 설득력 있는 제목(예: “구독 해지 알림”)을 사용하여 Gmail 또는 Google 드라이브와 같은 신뢰할 수 있는 서비스를 사칭하는 피싱 이메일을 보냅니다.
- GCS 호스팅 리디렉션: 이메일은 정적 스캐너와 URL 필터를 우회하여 피해자의 브라우저에서 자바스크립트 리디렉션을 실행하는 Google 클라우드 스토리지(GCS) 호스팅 HTML 파일로 연결됩니다.
- 캡차 회피: 리디렉션 체인에는 자동 분석을 피하고 사용자에게 합법적으로 보이기 위한 CAPTCHA 챌린지가 포함되어 있습니다.
- 사기성 리워드 포털: 피해자는 가짜 경품 또는 보너스 웹사이트로 이동하여 등록하거나 돈을 입금하도록 유도합니다.
- 사용자 및 브라우저 데이터 수집: 공격자는 상세한 사용자 및 브라우저 메타데이터를 수집하여 Mixpanel, Google 애널리틱스, Amplitude와 같은 분석 플랫폼으로 전송하여 행동을 추적하고 캠페인을 최적화합니다.
- 신뢰할 수 있는 클라우드 인프라의 악용: 위협 행위자는 합법적인 클라우드 플랫폼을 활용하여 탐지를 회피하므로 사기를 발견하기가 더 어렵고 대규모로 더 효과적으로 이루어집니다.
이러한 접근 방식은 합법적인 클라우드 플랫폼이 공격 표면의 일부가 되는 사이버 범죄의 진화를 강조합니다. 위협 행위자는 의심스러운 도메인에서 악성 콘텐츠를 호스팅하는 대신 Google의 신뢰할 수 있는 인프라를 악용하여 감시를 우회하기 때문에 이러한 사기는 탐지하기 어렵고 대규모로 더 효과적으로 이루어집니다.
아리아카 위협 연구소는 문제 해결을 지원하고 인프라의 추가 오용을 방지하기 위해 이 악용 사례를 Google Cloud에 책임감 있게 공개했습니다. 또한 Proofpoint 신종 위협 연구팀과 협력하여 탐지 규칙 세트가 이 활동을 포함하도록 업데이트했습니다.
신종 위협에 대한 언급을 포함한 이러한 공동의 노력은 진화하는 클라우드 기반 위협에 대처하는 사이버 보안 커뮤니티의 강점을 강조합니다. 이는 집단 방어의 힘과 공익을 위한 정보 공유의 중요성을 보여주는 증거입니다.
이 연구는 신뢰가 남용될 경우 클라우드 시대에 가장 강력한 속임수의 도구가 될 수 있다는 중요한 진실을 강조합니다.