"왜! 나한테 문자를 보내는 건가요?" UNC3944는 SIM 스와핑, 랜섬웨어 공격, 협박, 그리고 명성을 쌓기 위해 SMS 피싱 캠페인을 진행 중입니다!
Mandiant
* 본 아티클의 원문은 2023년 9월 14일 Google Cloud 블로그(영문)에 게재되었습니다.
작성자: Mandiant Intelligence
금전적인 이익을 추구하며 위협을 하는 집단인 UNC3944가 전화를 활용한 사회 공학 기법과 문자(SMS)를 이용한 피싱 캠페인을 지속해서 진행하고 있습니다. 이들은 피해자의 인증 정보를 탈취하여 조직 내부에 액세스 할 수 있는 권한을 확보해 왔습니다. 이 공격 그룹의 일부 멤버는 텔레그램이나 언더그라운드 포럼 같은 은밀한 커뮤니티에서 활동하고 있으며, 그곳에서 추가 공격 도구나 서비스를 구할 가능성이 있습니다.
UNC3944의 위협 활동은 “0ktapus", "Scatter Swine", "Scattered Spider" 등 이미 알려진 해킹과 많은 유사성을 보입니다. 2022년부터 2023년 초까지 이 집단은 SIM 스와핑 공격에 필요한 개인 정보나 시스템에 접근하는 데 활동의 초점을 맞추었습니다. 이런 공격은 다른 범죄 활동을 지원하기 위한 것으로 보입니다. 그러나 2023년 중반 이후로는 랜섬웨어 배포를 중점적으로 추진하고 있습니다. 이러한 전환은 이 공격 그룹이 수익 창출 방법을 다변화하고 있다는 것으로 풀이할 수 있습니다.
한편, UNC3944가 공격 초점을 옮긴 것은 그들이 지속해서 공격 대상 산업을 확장할 가능성을 시사합니다. 실제로 맨디언트의 분석에 따르면 UNC3944는 통신과 비즈니스 프로세스 아웃소싱(BPO)을 넘어 숙박, 도매, 미디어, 엔터테인먼트, 금융 등 다양한 산업으로 공격 범위를 확대하고 있습니다.
UNC3944는 민감한 데이터를 대량으로 유출하고 이를 통해 피해 조직을 협박하는 것에 중점을 둡니다. 이 공격 그룹은 서구권의 비즈니스 관행에 대해 깊은 이해를 하고 있어 보입니다. 또한, UNC3944는 공개적으로 이용할 수 있는 도구와 합법적인 소프트웨어를 언더그라운드 포럼에서 구매할 수 있는 맬웨어와 결합해 사용하고 있습니다. 다음 예는 UNC3944가 펼쳐온 작전에서 관찰한 주목할 만한 전술, 기술 절차(TTP)입니다.
-
UNC3944는 피해자에게 접근할 때 사회 공학 기법을 효과적으로 활용합니다. 이들은 주로 SMS 피싱 캠페인을 통해 피해자 개인 정보를 확보한 다음 헬프 데스크에 전화하여 비밀번호를 재설정하거나 다중 인증을 우회하는 코드를 얻으려고 시도합니다.
-
위협 행위자들은 상용 프록시 서비스를 이용해 보안 모니터링 도구의 감시망에서 벗어납니다. 이 방식으로 공격자의 실제 위치를 숨기면서, 동일 지역에서 접근하는 것처럼 위장할 수 있습니다.
-
위협 행위자들은 소프트웨어 기업 웹 사이트에서 합법적으로 원격 접근 도구 등 다양한 소프트웨어를 다운로드하여 활용합니다.
-
위협 행위자들은 공격을 빠르고 효율적으로 실행하여, 단 며칠 안에 중요 시스템에 접근하고 대량의 데이터를 빼낼 수 있습니다. 위협 행위자들의 침투하는 속도와 데이터 탈취 규모는 보안 대응팀에게 큰 부담을 줍니다.
-
초기 침투에 성공하면 UNC3944는 내부 문서, 자원, 채팅 로그 등을 철저히 분석하여 지속성을 확보하고 권한을 상승시킵니다.
-
UNC3944는 주로 비밀번호 관리 시스템이나 중요 서버에 접근할 수 있는 권한이 있는 계정을 노려 권한 상승을 시도합니다.
-
UNC3944는 피해자의 환경에 관리되지 않는 가상 머신을 생성해 공격을 진행합니다. 일부 경우에는 피해자의 클라우드 환경에서 인터넷에 접근 가능한 가상 머신을 생성하기도 합니다.
-
랜섬웨어 배포 시에는 비즈니스에 중요한 가상 머신이나 시스템을 주요 목표로 설정하여 피해를 극대화합니다.
-
위협 행위자들은 시스템 내에 협박성 메모를 남기거나, 텍스트 메시지와 이메일로 경영진에게 직접 접촉하는 등 공격적인 커뮤니케이션 방식을 사용합니다. 더 나아가 피해자가 사건 대응을 위해 사용하는 통신 채널에도 침투합니다.
전술, 기법, 절차(TTP) 살펴보기
맨디언트의 공격 라이프사이클 모델을 기반으로 2023년에 관찰한 UNC3944의 TTP를 상세히 살펴보겠습니다.
그림 1. UNC3944의 공격 라이프사이클
자격 증명 탈취를 위한 스미싱
UNC3944 활동에서 주목할 특징 중 하나는 목표 조직의 직원에게 스미싱 메시지를 보내 자격 증명을 탈취하는 것입니다. 대부분의 초기 접근 사례에서는 UNC3944가 스미싱 공격을 성공적으로 수행한 뒤 피해자의 환경에 접근했다는 것이 확인되었습니다.
위협 행위자들은 사용자 인증 정보 확보 후 다중 인증(MFA) 코드나 비밀번호 재설정을 위해 피해자가 몸담은 조직의 헬프 데스크에 전화를 걸어 직원을 사칭했습니다. 이때 위협 행위자들은 헬프 데스크 담당자가 직원 본인임을 확인하기 위해 요청하는 이름, 사번 등 개인 식별 정보(PII)에 답을 하였습니다. 헬프 데스크 담당자의 질문에 명확한 답을 하기까지 일정 시간이 지체되곤 했습니다. 이는 위협 행위자가 담당자 질문에 적절한 답을 찾기 위해 시간을 소비한 것으로 해석됩니다.
한 사례에서는 UNC3944가 피해자 조직과 계약을 맺고 서비스를 제공한 IT 아웃소싱 회사에서 사용한 노트북을 통해 노출된 계정 인증 정보에 대한 MFA 토큰을 재설정하기 위해 헬프 데스크에 연락하기도 했습니다. 이 사례에서도 위협 행위자는 사회 공학 기법을 동원해 헬프 데스크에 MFA 토큰 재설정을 요청하였습니다. 맨디언트의 분석에 따르면 재설정 요청 몇 주 전에 가짜 소프트웨어가 해당 노트북에 다운로드되어, 인증 정보를 도용하는 맬웨어인 RECORDSTEALER가 설치되었습니다. 일반적으로 UNC3944는 일반적으로 훔친 인증 정보를 이용하여 피해 조직 내에서 추가적인 침투를 위한 발판을 구축합니다.
UNC3944는 피싱 페이지를 공격 대상 조직의 실제 서비스와 유사하게 디자인해 피해자를 속였습니다. 이런 피싱 페이지는 주로 SSO(Single Sign On)나 헬프 데스크 사이트 형태로 구성되었습니다. 도메인 이름도 피해자를 혼란스럽게 하기 위해 공격 대상 조직 이름에 "-sso" 또는 "-servicenow" 같은 단어를 조합하여 사용했습니다. UNC3944의 피싱 도메인을 분석한 결과 위협 행위자들이 피해 조직의 내부 시스템 정보를 미리 파악한 후 이를 활용해 맞춤형 피싱 캠페인을 진행했을 가능성이 높다고 판단됩니다. 예를 들어 일부의 경우에서는 위협 행위자들이 피해 조직의 내부 시스템 이름을 포함한 피싱 도메인을 만들어 사용했습니다.
UNC3944 활동 관련 피싱 키트
맨디언트는 UNC3944가 캠페인 지원을 위해 적어도 세 가지 피싱 키트를 사용한 것을 확인했습니다.
-
2021년 말부터 2022년 중반까지 UNC3944의 캠페인은 그림 2와 같은 피싱 키트를 사용했습니다. 맨디언트는 이를 EIGHTBAIT라고 이름 붙였습니다. 이 피싱 키트는 캡처한 인증 정보를 위협 행위자의 텔레그램 채널로 전송하도록 설계되어 있습니다. 또한, EIGHTBAIT는 피해자 시스템에 원격 접속 프로그램인 AnyDesk를 배포할 수 있습니다. 이 키트는 모바일 시스템 아닌 데스크톱을 대상으로 개발된 것으로 보이며, 이를 놓고 볼 때 이 키트는 스미싱 캠페인을 위해 특별히 설계된 것은 아닌 것으로 보입니다.
그림 2. 샘플 EIGHTBAIT 피싱 페이지
2. 022년 3분기부터 맨디언트는 한 조직의 웹 사이트를 복사해 만든 것으로 보이는 새로운 피싱 키트를 활용한 UNC3944의 캠페인을 지속해서 관찰하고 있습니다(그림 3). 이 키트는 일반적인 인증 테마를 사용하며, 공격 대상 조직의 인증 페이지를 스크래핑하여 복사본으로 만들어졌습니다. 특히 눈에 띄는 것은 이 키트가 최근 발생한 몇몇 침입 사건에서 협박을 시도할 때 사용된 것으로 확인되었다는 것입니다.
그림 3. 샘플 피싱 페이지 - 두 번째 피싱 키트
3. 2023년 중반 맨디언트는 두 번째 피싱 키트와 함께 사용한 세 번째 피싱 키트를 확인했습니다(그림 4). 이 키트는 두 번째 피싱 키트와 시각적, 구조적으로 매우 유사합니다. 거의 같아 보이지만 코드에는 소소한 변경이 있습니다. 변경 사항을 고려하면 두 번째 키트의 테마가 새로운 도구로 개조되었을 가능성이 있습니다.
그림 4: 샘플 피싱 페이지 - 세 번째 피싱 키트
다양한 도구와 기법을 동원
UNC3944는 목표에 도달하기 위해 스미싱과 사회 공학 기법에만 의존하지 않고 다양한 방법을 활용합니다. 맨디언트의 분석에 따르면 UNC3944는 공개 도구를 이용해 인증 정보를 탈취하고, 피해 조직의 내부 시스템을 철저히 조사하여 특권을 가진 계정을 찾아낼 수 있었습니다. 한 사건에서 UNC3944는 해시코프(HashiCorp)의 공식 사이트에서 다운로드한 Vault 클라이언트를 이용해 피해자의 해시코프 Vault에서 데이터를 내보냈습니다. 이렇게 성공적으로 인증 정보를 획득한 다음 위협 행위자들은 도메인 관리자 계정으로 파일 서버에 접근했습니다.
또 다른 사건에서 UNC3944는 CyberArk API를 위한 파워쉘 모듈을 설치하여 Vault 서버에서 인증 정보를 덤프 했습니다. UNC3944는 Trufflehog와 GitGuardian 같은 공개적으로 이용할 수 있는 도구로 내부 깃허브(GitHub) 저장소에서 인증 정보를 찾으려 노력했습니다. 또 다른 사례에서 UNC3944는 특권 사용자 계정의 인증 정보로 Azure 테넌트를 대상으로 오픈 소스 도구인 MicroBurst를 실행했습니다. 참고로 MicroBurst의 주요 기능은 Azure에 로그인하고 리소스에 접근할 때 사용하는 인증 정보(Azure Credentials)와 Azure에 있는 민감한 정보 보호를 위해 사용하는 암호화 관련 정보(Azure Secrets)를 식별하는 것입니다.
맨디언트는 UNC3944가 다양한 정보 탈취 도구를 캠페인에 활용한 여러 사례를 확인했습니다. 예를 들어 위협 행위자들은 피해자의 AWS 버킷에 스테이징 된 ULTRAKNOT 도구(일명 Meduza stealer)를 다운로드하기 위해 파워쉘 스크립트를 사용했습니다. 또한, 데이터 마이닝 도구인 VIDAR와 ATOMIC을 다운로드하거나 스테이징 하는 작업도 진행하였습니다.
전화는 외부에서 걸려온다!
UNC3944의 침투 공격에 주목할 공통점이 또 있습니다. 바로 피해 조직의 클라우드 리소스를 창의적이고 효과적인 방법으로 표적으로 삼아 활용한다는 것입니다. 이런 전략을 통해 위협 행위자들은 후속 침투 작업 기반을 마련하고, 네트워크와 디렉토리를 정찰하고, 민감한 시스템과 데이터 저장소에 접근합니다. 이게 가능한 이유는 클라우드와 기업 네트워크는 서로 연결되어 상호작용을 하기 때문입니다.
UNC3944는 클라우드 환경에서 특권을 가진 사용자 계정으로 피해자 환경에 지속해서 접근할 수 있는 기반을 확립하는 데 능숙합니다. 초기 침투 후 지속성을 유지하는 UNC3944의 기술은 멀티 클라우드 환경에서 모니터링하고 탐지하기 어렵습니다. UNC3944는 피해 조직의 마이크로소프트 Entra(기존 Azure Active Directory)에 불법적인 ID 제공자(federated identity providers)를 추가해 골든 SAML(Golden SAML) 공격을 실행할 수 있습니다. 이 공격 기법으로 위협 행위자는 조직의 액티브 디렉토리 서버에 대한 접근 권한을 얻은 후 사용자 인증 정보를 탈취할 수 있습니다. 위협 행위자는 ID 제공자 추가 후 Entra ID로 보호하는 리소스에 암호나 MFA 장치 없이 접근할 있습니다. 여러 사건에서 위협 행위자들은 Azure 가상 머신을 생성하고 여기에 공개 IP 주소를 할당했습니다. 이렇게 생성한 가상 머신에는 조직에서 요구하는 보안 및 로깅 소프트웨어가 설치되어 있지 않습니다. 따라서 위협 행위자는 생성한 가상 머신을 발판으로 삼아 모니터링의 감시망을 피해 조직 내 신뢰할 수 있는 시스템에 접근할 수 있습니다.
또한, 위협 행위자들은 피해 조직의 클라우드 리소스에 접근해 악성 유틸리티를 호스팅하고 네트워크 내 시스템에서 그것들을 실행하였습니다. 한 사건에서 위협 행위자들은 조직이 소유한 AWS(Amazon Web Services) S3 버킷에 악성 유틸리티를 호스팅하고, 마이크로소프트 Intune 파워쉘 오케스트레이션을 사용해 피해 조직 내부에서 유틸리티를 다운로드했습니다. 이 스크립트들은 방화벽 룰을 비활성화한 다음 ALPHV 랜섬웨어 페이로드를 검색해 실행하도록 설정되었습니다.
UNC3944는 Azure의 특수 기능과 애플리케이션을 사용해 데이터를 탈취하고 측면 이동을 수행하였습니다. 여러 사건에서 UNC3944는 특별 관리 콘솔을 사용해 조직의 Azure 환경 내에서 측면 이동을 하면서 가상 머신에 시리얼 콘솔을 통해 연결했습니다. 맨디언트는 위협 행위자들이 Azure Data Factory를 사용해 데이터웨어하우스, 스토리지 볼륨, SQL 데이터베이스 등 다양한 플랫폼에 저장된 데이터를 탈취하기 위해 기존 파이프라인을 수정하는 것을 관찰하였습니다. 구체적으로 보자면 여러 데이터 소스에서 정보를 내보내는 파이프라인 작업을 생성했습니다. Azure Data Factory는 위협 행위자들이 대량의 데이터를 복사할 수 있는 안정적이고 높은 대역폭의 플랫폼으로 활용되었습니다.
전망 및 시사점
UNC3944는 지속해서 능력과 전략을 확장하며 다양한 수익 창출 방안을 모색하는 위협 행위자 집단입니다. 이들은 언더그라운드 커뮤니티의 지원을 받아 기술을 끊임없이 개선하고 작전의 효율성을 높일 것으로 예상됩니다. 위협 행위자들은 초기 접근 권한을 얻기 위해 SMS 피싱 캠페인을 실행하거나 피해자 조직의 헬프 데스크에 전화를 걸어 비밀번호와 MFA 재설정을 요청하는 등의 사회 공학 기법을 활용하고 있습니다.
UNC3944는 초기 작전에서 성공을 거둔 바 있어 랜섬웨어 같은 더 파괴적이고 수익성 높은 TTP로 활동 범위를 확장했을 가능성이 높습니다. 이들은 앞으로 수익을 극대화하기 위해 다른 랜섬웨어를 도입하거나 새로운 수익화 전략을 적용할 가능성이 있습니다. 새로운 파트너를 확보하고 다양한 언더그라운드 커뮤니티를 활용해 도구와 기술, 수익화 전략을 강화하면서 UNC3944의 공격은 앞으로 계속 이어질 것으로 예상됩니다.
완화 방안
Entra ID(이전 Microsoft Azure Active Directory)를 사용한다면 다음 권장에 따라 마이크로소프트 클라우드 내에서 MFA 남용 및 권한 있는 특권 계정의 무단 사용을 시도하는 UNC3944의 TTP를 완화할 수 있습니다.
- 마이크로소프트 Authenticator의 MFA 확인 옵션으로 SMS를 제거하고 번호 매칭을 적용합니다. 다단계 인증 서비스 설정 대화상자에서 'Notification through mobile app)' 체크 박스에서 선택을 취소하여 MFA 인증 옵션에서 SMS를 제거합니다.
-
번호 매칭으로 MFA 수단을 제한하려면 "Migration in Progress" 옵션을 선택했는지 확인한 다음 마이크로소프트 Authenticator의 인증 방법을 구성해야 합니다.
푸시 알림에 번호 매칭을 요구하도록 마이크로소프트 Authenticator를 구성합니다.
-
"Password + Microsoft Authenticator(Push Notification)"만 허용하도록 인증 강도를 지정합니다.
- 조건부 액세스 정책을 새로 만들거나 기존 정책을 편집해 새로 만든 인증 강도만 액세스 권한을 부여합니다.
- 사용자가 신뢰할 수 있는 네트워크 위치에서 인증하도록 요구하거나 장치 규정 준수를 보장하여 MFA 및 SSPR 등록이 안전한지 확인합니다. 이에 대한 상세 정보는 마이크로소프트 문서를 참조 바랍니다.
- 사용자가 신뢰할 수 있는 네트워크 위치에서 인증하거나 장치 규정 준수를 보장하는 경우에만 액세스를 허용하는 조건부 정책을 만들어 Azure 및 마이크로소프트 365 관리 기능에 대한 외부 액세스를 차단하십시오. MFA 및 SSPR 등록 보안에 대한 상세 내용은 마이크로소프트 문서를 참조 바랍니다. 포함할 앱(Microsoft Admin Portal, Microsoft Azure Management)을 다음과 같이 추가합니다. 마이크로소프트 그래프 익스플로러(Graph Explorer)와 그래프 파워쉘의 보안 강화에도 이 기능을 활용할 수 있습니다.
UNC3944는 피해자 조직의 헬프 데스크에 연락을 취하는 등 사회 공학 기법을 활용하고 있음이 확인되었습니다. 이에 따라 비밀번호와 MFA 재설정 절차의 보안 강화가 필요합니다. 효과적인 대응책 중 하나로 헬프 데스크에서 사용자에게 영상 통화를 통한 인증을 요구할 수 있습니다. 영상 통화가 이루어지면 헬프 데스크 관계자는 사용자의 얼굴을 HR 시스템에 저장된 사진과 대조합니다. 추가로 영상 통화 중에 사용자에게 운전면허증 같은 신분증 제시를 요구할 수 있습니다. 이러한 절차는 조직의 요구에 따라 맞춤 설정이 가능합니다.
맨디언트는 UNC3944의 TTP를 완화할 수 있는 상세한 탐지 메커니즘, 억제 및 제거 방안 등의 추가 리소스를 곧 출시할 예정입니다.
부록: 일반적인 피싱 도메인 구조
UNC3944는 다음과 같은 패턴을 가진 도메인을 이용해 피싱 키트를 호스팅 합니다.
- {}-sso.[com|net]
- sso-{}.[com|net]
- {}sso.com.[com|net]
- {}-help.com
- {}-helpdesk.com
- {}-servicedesk.com
- {}-servicenow.[com|net]
- servicenow-{}.com
- {}-internal.com
- {}-schedule.[ca|com]
부록: 일반적인 툴/소프트웨어
UNC3944는 내장 도구나 명령어를 사용하고, 소프트웨어 기업의 웹 사이트나 깃허브 저장소에서 공개적으로 사용할 수 있는 도구와 소프트웨어를 다운로드합니다. 다음 표는 UNC3944가 사용한 도구입니다.