ASP에는 무엇이 담겨 있나? 러시아의 저명한 학자 및 비평가를 대상으로 한 창의적 피싱 공격
Google Threat Intelligence Group
업데이트 (7월 10일): 2025년 6월 말, 구글 위협 인텔리전스 그룹(GTIG)은 UNC6293가 진화된 수법으로 공격을 계속하고 있음을 발견했습니다. UNC6293은 이전에 관찰된 것과 유사한 유인책을 사용하며, 저희의 보고서 발행에 대한 대응으로 추정되는 다른 애플리케이션별 비밀번호(ASP) 이름을 이용해 저명한 학자, 러시아 비평가, 언론인들을 대상으로 한 피싱 캠페인을 지속했습니다.
다른 캠페인에서는 UNC6293이 마이크로소프트의 장치 코드 인증 흐름을 통해 공격자가 통제하는 장치를 피해자의 Microsoft O365 계정에 연결하도록 유도했습니다.
ASP 캠페인을 이어가기 위해 UNC6293은 이전에 초기 피싱 시도에 반응했던 특정 개인들과 다시 접촉을 시도했습니다. GTIG는 UNC6293이 이전에 사용되어 이미 비활성화된 계정과 유사한 사용자 이름으로 여러 개의 새로운 계정을 생성하는 것을 관찰했습니다. 또한, 이 캠페인의 연속 단계에서는 다른 ASP 이름을 사용했습니다. 초기 캠페인에 대한 반응이 있었기 때문에, UNC6293은 국무부 직원이라는 속임수를 유지하고 이전 캠페인의 특정 개인 표적들과 다시 관계를 맺으려는 의도를 보였습니다.
UNC6293은 또한 캘린더 초대를 통해 가상 회의에 대한 맞춤형 초대장을 보내기 시작했습니다. 이 초대장에는 Zoom 및 Google Meet 링크는 물론, 공격자가 통제하는 애플리케이션을 위한 마이크로소프트 인증 URL이 포함되어 있었습니다.
https://login.microsoft[.]com/<redacted>/oauth2/authorize?client_id=
fc45d3d0-d870-4c83-b3f7-08ebca61d3a0&prompt=
none&response_mode=form_postMicrosoft 인증 URL을 클릭하면 공격자가 통제하는 도메인을 포함하는 리디렉션 체인이 시작됩니다.
https://rediruri[.]app/<redacted>공격자가 통제하는 URL은 대상이 Microsoft O365 인증 페이지로 리디렉션되기 전 짧은 시간 동안만 브라우저에 표시됩니다 (그림 4).
그림 4: 리디렉션 후 Microsoft O365 인증 페이지
이 위협 행위자가 보여준 인내심, 끈기, 그리고 창의성을 고려할 때, GTIG는 UNC6293 또는 다른 위협 행위자의 향후 ASP 피싱 캠페인으로부터 보호하기 위해 이 블로그 게시물의 초기 버전에 명시된 완화 조치를 따를 것을 강력히 권고합니다. 합법적인 인증 기능을 악용하는 사회 공학 공격은 방어하기 어렵습니다. 따라서 이 그룹의 표적이 될 수 있는 개인들은 구글의 고급 보호 프로그램(Advanced Protection Program, APP)과 같은 강화된 보안 리소스를 사용할 것을 권장합니다.
구글 위협 인텔리전스 그룹(GTIG)은 외부 파트너들과 협력하여 러시아 정부가 후원하는 사이버 위협 행위자가 미국 국무부를 사칭하는 것을 포착했습니다. 2025년 4월부터 6월 초까지 이 공격자는 러시아의 저명한 학자 및 비평가들을 표적으로 삼았으며, 광범위한 관계 구축과 맞춤형 유인책을 사용하여 피해자가 애플리케이션별 비밀번호(ASP)를 설정하도록 유도했습니다. 피해자가 ASP 암호를 공유하면, 공격자는 피해자의 사서함에 대한 지속적인 접근 권한을 확보합니다. 이 게시물에는 두 가지 다른 캠페인이 자세히 설명되어 있습니다. 이 활동은 고위험 사용자에게 유용한 또 다른 자료인 Citizen Lab의 ASP에 대한 사회 공학 공격에 관한 최근 연구와 일치합니다.
GTIG는 이 활동을 UNC6293으로 추적하고 있으며, 이들이 APT29 / ICECAP과 관련이 있을 가능성이 있다고 낮은 신뢰도로 평가되는 러시아 정부 후원 사이버 행위자일 것으로 보고 있습니다. 관계를 구축한 후, 공격자는 회의 초대장으로 위장한 피싱 유인책을 보내고, 국무부 이메일 주소를 위장한 주소를 초기 연락 시 참조(cc)에 추가하여 접촉 시도의 합법성을 높였습니다. 초기 피싱 이메일 자체는 직접적으로 악성 코드를 포함하지 않지만, 피해자가 회의 설정을 위해 응답하도록 유도합니다.
그림 1: 러시아에 대한 저명한 영국 연구자 Keir Giles가 게시한 UNC6293 캠페인의 일부였던 위장 미국 국무부 이메일이 포함된 이메일 헤더 스크린샷
응답한 표적들은 악성 코드가 없는 PDF 유인책이 첨부된 이메일을 받았습니다. 이 국무부 테마의 유인책은 표적에 맞게 맞춤 제작되었으며, 가짜 국무부 클라우드 환경에 안전하게 접속하는 방법을 안내하는 지침이 포함되어 있었습니다. 여기에는 피해자가 https://account.google.com으로 이동하여 애플리케이션별 비밀번호(ASP) 또는 "앱 비밀번호"를 만들도록 지시하는 내용이 포함되었습니다. ASP는 2단계 인증(2SV)과 같은 기능을 지원하지 않는 애플리케이션 및 장치를 위해 만들어진, 타사 애플리케이션이 구글 계정에 접속할 수 있도록 허용하는 무작위로 생성된 16자리 암호입니다. ASP를 사용하려면 이를 설정하고 애플리케이션의 이름을 제공해야 합니다.
그림 2: 지침이 담긴 무해한 PDF 문서
캠페인 1에서 유인 PDF에 제안된 ASP 이름은 "ms.state.gov"였습니다. 캠페인 2에서는 우크라이나 및 마이크로소프트 테마의 ASP 이름이 관찰되었습니다. ASP를 만든 후, 공격자들은 표적에게 16자리 코드를 자신들에게 보내도록 지시했습니다. 그런 다음 공격자들은 ASP를 사용하도록 메일 클라이언트를 설정했으며, 이는 피해자의 이메일 내용을 확인하고 읽는 것을 최종 목표로 삼았을 가능성이 높습니다. 이 방법은 공격자가 계정에 대한 지속적인 접근 권한을 가질 수 있도록 합니다.
공격자들은 주로 주거용 프록시와 VPS 서버를 이용해 피해자 계정에 로그인했으며, 일부 경우에는 동일한 인프라를 재사용하여 다른 피해자나 공격자 계정에 접근했습니다. 그 결과, 저희는 관찰된 두 가지 다른 캠페인을 동일한 클러스터에 연결할 수 있었습니다. 저희는 이 캠페인들로 인해 침해된 Gmail 계정들을 재보안 처리했습니다.
완화 조치
GTIG는 고도화된 위협을 이해하고 대응하는 임무에 전념하고 있습니다. 저희는 연구 결과를 활용하여 구글 제품의 보안을 강화하고 사용자 및 기업 고객을 보호합니다.
사용자는 ASP를 완전히 통제할 수 있으며, 필요에 따라 생성하거나 해지할 수 있습니다. ASP가 생성되면, 구글은 해당 Gmail 계정, 복구 이메일 주소 및 구글 계정으로 로그인된 모든 장치에 알림을 보내 사용자가 이 인증 방법을 활성화했는지 확인합니다.
그림 3: 앱 비밀번호에 대한 구글 계정 도움말 문서
구글은 표적 공격 및 기타 심각한 위협에 노출될 위험이 높은 개인을 위해 설계된 고급 보호 프로그램(Advanced Protection Program, APP)과 같은 강화된 보안 리소스를 제공합니다. APP를 사용하면 프로그램의 강화된 보안 요구사항으로 인해 계정에서 ASP(애플리케이션별 비밀번호)를 생성할 수 없게 됩니다.
저희는 이번 활동으로 표적이 되었을 수 있는 회사 및 개인, 그리고 보안 커뮤니티와 연구 결과를 공유하는 데 전념하고 있습니다. 이러한 전술과 기법에 대한 이해가 향상되어 업계 전반의 위협 탐지 능력이 강화되고 사용자 보호가 더욱 강력해지기를 바랍니다.
유인 PDF 문서
SHA256: 329fda9939930e504f47d30834d769b30ebeaced7d73f3c1aadd0e48320d6b39
