해커들, BaseCamp 악용해 무료로 악성코드 호스팅해

Hackers now abuse BaseCamp for free malware hosting

 

공격자들이 악성코드를 배포하거나 사용자의 로그인 자격 증명을 훔치는 악성 피싱 캠페인에서 Basecamp를 악용하기 시작했습니다.

 

Basecamp는 사용자들끼리 협업, 채팅, 문서 생성, 파일 공유 등이 가능한 웹 기반 프로젝트 관리 솔루션입니다.

 

사용자는 이를 통해 HTML 링크, 이미지, 양식화된 텍스트의 형태로 문서를 생성할 수 있습니다.

 

Basecamp는 사용자가 프로젝트에 실행 파일, 자바 스크립트 등 일반적으로 안전하지 않은 것으로 간주되는 파일 포맷을 포함한 어떤 파일도 업로드할 수 있도록 허용합니다.

 

 

<Basecamp 프로젝트 내 파일 및 문서>

<이미지 출처: https://www.bleepingcomputer.com/news/security/hackers-now-abuse-basecamp-for-free-malware-hosting/>

 

 

업로드된 파일을 공개적으로 공유하기 위해, 사용자는 조직의 외부인이 파일을 미리 살펴보고 다운로드할 수 있는 공개 링크를 생성할 수 있습니다.

 

 

<업로드된 파일에 대한 공개 링크 생성>

<이미지 출처: https://www.bleepingcomputer.com/news/security/hackers-now-abuse-basecamp-for-free-malware-hosting/>

 

 

사용자가 이 링크 [예시로 공유된 파일]를 클릭하면 파일을 미리 살펴본 후 다운로드 할 수 있는 링크가 포함된 페이지로 이동됩니다.

 

Basecamp는 무료 라이선스를 제공하기 때문에 사용자는 이를 통해 자신이 원하는 모든 파일 유형을 무료로 배포할 수 있습니다.

 

Basecamp, 악성 실행 파일 배포에 악용돼

 

보안 연구원인 MalwareHunterTeam과 James는 공격자들이 BazarLoader 실행파일을 공개 Basecamp 다운로드 링크를 통해 배포하고 있는 것을 발견했습니다.

 

 

<이미지 출처: https://twitter.com/malwrhunterteam/status/1317017784799428615>

 

 

BazarLoader는 TrickBot 그룹이 가치 높은 타깃의 네트워크를 해킹하기 위해 사용한 은밀한 백도어 트로이목마입니다.

 

BazarLoader는 설치될 경우 공격자가 네트워크에 접근하고 결국에는 Ryuk 랜섬웨어를 배포하도록 허용하는 Cobalt Strike 비콘을 배포합니다.

 

악성 파일을 호스팅하는데 Basecamp와 같은 안전한 서비스가 악용되어 사용자들이 의심 없이 클릭하게 될 수 있습니다.

 

또한 공격자는 Basecamp URL을 사용해 사용자가 해당 파일이 Basecamp 프로젝트에서 발송된 것으로 믿게끔 속이는 타깃형 캠페인을 통해 네트워크에 침투할 수 있게 됩니다.

 

따라서 항상 모든 공유 링크 및 다운로드 링크를 의심스러운 것으로 간주하는 것이 중요합니다.

 

Basecamp, 피싱 캠페인에도 악용돼

 

보안 연구원인 Will Thomas는 공격자들이 피싱 캠페인에서도 Basecamp를 악용하고 있다는 것을 발견했습니다.

 

보안 회사인 Cyjax의 보고서에 따르면 피싱 캠페인에서 Basecamp를 악용하여 사용자를 피싱 랜딩 페이지로 이동시키는 중개 페이지를 호스팅하고 있는 것으로 나타났습니다.

 

Basecamp는 신뢰할 수 있는 서비스로 간주되기 때문에 공격자가 안전한 트래픽을 통해 보안 솔루션을 우회하는 페이지를 생성하는 것이 가능합니다.

 

“Basecamp와 구글 클라우드 호스팅은 비즈니스에서 자주 사용되며 대부분의 탐지 시스템에서 디폴트로 안전한 것으로 간주되기 때문에 이 기술은 매우 효과적입니다.”

 

“클라우드 플랫폼은 사용자의 익명성을 유지하는 동시에 즉시 설정이 가능합니다. 이러한 서비스에서 발생하는 트래픽은 합법적으로 보이기 때문에, 인간 SOC 분석가들이 이를 위협으로 감지하기가 어렵습니다.”

 

Thomas는 최근 사용자를 오피스 365 크리덴셜 피싱 페이지로 이동시키는데 공유 Basecamp 문서를 사용하는 피싱 캠페인을 발견했습니다.

 

 

<Basecamp에서 호스팅되는 피싱 중개 페이지>

<이미지 출처: https://www.cyjax.com/2020/10/16/office-365-credential-harvesting-campaign-leveraging-basecamp/>

 

 

보안솔루션이 참조자를 “안전한” 트래픽으로 간주하는 것 이외에도, 중개 페이지에 Basecamp를 사용하는 것의 이점은 또 있습니다. 공격자는 언제든 원할 때 이 페이지를 편집할 수 있다는 것입니다.

 

피싱 랜딩 페이지가 삭제되었다고 가정했을 때, 공격자는 Basecamp에 로그인하여 다른 페이지로 리디렉션하도록 중개 페이지를 수정할 수 있습니다.

 

공격자는 이 기능을 통해 피싱 페이지가 제거된 경우에도 캠페인을 계속 유지할 수 있게 됩니다.

 

현재 알약에서는 해당 악성코드 샘플에 대해 ’Trojan.GenericKD.34793558’로 탐지 중입니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/hackers-now-abuse-basecamp-for-free-malware-hosting/

https://www.cyjax.com/2020/10/16/office-365-credential-harvesting-campaign-leveraging-basecamp/