해커들, 구글 클라우드 스토리지에서 악성 페이로드 호스팅 해 금융 회사들 공격해

Hackers target financial firms hosting malicious payloads on Google Cloud Storage

Menlo Labs의 연구원들이 구글 클라우드 스토리지를 악용해 은행 및 금융 서비스 회사의 직원들을 노리는 악성 이메일 캠페인을 발견했습니다.

이 캠페인은 미국과 영국의 조직들을 노리며, 공격자들은 페이로드를 전달하기 위해 구글 클라우드 스토리지를 악용해오고 있었습니다.

이 스팸 캠페인에 사용 된 메시지에는 .zip 또는 .gz 파일과 같은 압축 파일로 연결 되는 링크가 포함되어 있었습니다. 공격자들은 타겟이 이 악성 링크를 클릭하도록 속이려 시도했습니다. 또한 이들은 악성 페이로드를 구글 클라우드 스토리지 서비스와 관련 된 storage.googleapis.com에 호스팅했습니다. 이 페이로드는 Houdini와 QRat 악성코드 패밀리에 속합니다.

이러한 전략을 통해, 공격자들은 타겟 조직에 설치 된 보안 장치들을 우회할 수 있었습니다.

“악성 페이로드는 셀 수 없이 많은 기업들에서 사용하고 있는 구글 클라우드 스토리지 서비스의 도메인인 storage.googleapis.com에서 호스팅 되었습니다. 공격자들은 널리 신뢰받는 도메인을 이용해 그들의 페이로드를 호스팅함으로써 조직 또는 보안 제품들의 보안 장치를 우회했습니다.”

“이는 탐지를 피하기 위해 잘 알려진 호스팅 서비스 뒤에 숨는 “평판 훔치기”라는 기술을 악용한 사례가 증가했음을 나타냅니다.”

이 공격자들은 피해자를 감염시키기 위해 이메일과 웹을 조합했기 때문에 악성 첨부파일 보다 악성 링크를 사용한 것으로 추측됩니다. 많은 보안 솔루션들이 악성 첨부파일은 탐지할 수 있지만, 악성 URL은 블랙리스트에 포함되었을 경우에만 탐지할 수 있기 때문입니다.

공격자들은 피해자를 감염시키기 위해 두 가지 유형의 페이로드(VBS 스크립트, JAR 파일)를 사용했습니다. 연구원들은 고도로 난독화 된 악성 VBS 스크립트 중 일부를 분석 결과, 사이버 범죄 언더그라운드에서 얻을 수 있는 빌더들 중 하나로 생성 된 것으로 추측 했습니다.

연구원들은 Houdini 악성코드 패밀리에 속하는 스크립트 3개를 분석했습니다. 이 코드들은 난독화 된 VBScript 중첩 3레벨과 Base64를 통해 인코딩 되어 고도로 난독화되어 있었습니다.

연구원들은 이들이 동일한 C2 도메인인 pm2bitcoin[.]com와 보조 C2 도메인인 fud[.]fudcrypt[.] com를 사용한다는 것을 알아냈습니다.

또한 난독화 된 VBScript의 마지막 단계에서 동일한 문자열인 “<[ recoder : houdini (c) skype : houdini-fx ]>”가 나타나고, 모두 JAR 파일을 다운로드하는 것을 발견했습니다.

이 파일들 중 하나는 Houdini/jRAT 악성코드 패밀리에 속하며, 또 다른 JAR 파일은 QRat 악성코드 패밀리에 속합니다.

연구원들은 “금융 서비스 업계는 아주 매력적인 타겟입니다. 그리고 RAT(원격 접속 트로이목마)는 기업 내 해킹 된 기기의 제어권을 얻는데 매우 중요한 역할을 합니다. 엔드포인트 접근을 얻어내는 새로운 기술은 항상 개발 되고 있으며, 앞으로도 계속해서 발전할 것입니다.”

“금융 서비스 회사들은 이보다 더 정교한 악성코드 및 크리덴셜 피싱 공격의 타겟이 될 것으로 예상됩니다.”라고 끝맺었습니다.

참고 : 

https://securityaffairs.co/wordpress/79182/hacking/google-cloud-storage-abuse.html

https://www.menlosecurity.com/blog/a-jar-full-of-problems-for-financial-services-companies