클릭픽스 트릭: 사이버 공격의 새로운 전술
오늘날의 디지털 시대에서 사이버 보안은 그 어느 때보다 중요합니다. 최근 발견된 새로운 피싱 캠페인은 이를 여실히 보여줍니다. 이 캠페인은 '클릭픽스(ClickFix)'라는 기법을 활용해 오픈 소스 명령 및 제어(C2) 프레임워크인 '하복(Havoc)'을 배포합니다. 이 공격은 사용자가 신뢰하는 서비스인 SharePoint 사이트를 악용하여 다단계 악성코드를 숨기는 방식으로 진행됩니다.
클릭픽스 기법의 작동 원리
공격의 시작점은 피싱 이메일입니다. 이 이메일에는 'Documents.html'이라는 HTML 첨부 파일이 포함되어 있으며, 이를 열면 오류 메시지가 표시됩니다. 이 메시지는 사용자를 속여 악성 PowerShell 명령을 복사하고 실행하도록 유도합니다. 이 명령은 PowerShell 스크립트를 다운로드하고 실행하여 다음 단계를 촉발합니다.
클릭픽스 기법은 Microsoft OneDrive에 연결하는 데 오류가 발생했다는 메시지를 띄워 사용자가 DNS 캐시를 수동으로 업데이트하도록 유도합니다. 사용자가 이 함정에 빠지면, 악성 PowerShell 스크립트가 실행되며 감염 과정이 시작됩니다. 이 스크립트는 공격자가 제어하는 SharePoint 서버에서 호스팅된 PowerShell 스크립트를 다운로드하고 실행하도록 설계되었습니다.
하복 C2 프레임워크의 역할
하복 프레임워크는 Microsoft Graph API와 함께 사용되어 C2 통신을 신뢰할 수 있는 서비스 내에 숨깁니다. 이 프레임워크는 정보 수집, 파일 작업 수행, 명령 및 페이로드 실행, 토큰 조작, Kerberos 공격 등 다양한 기능을 지원합니다.
이 공격의 다음 단계는 동일한 SharePoint 위치에서 Python 스크립트를 가져와 실행하는 것입니다. 이 스크립트는 KaynLdr이라는 반사 로더의 셸코드 로더 역할을 합니다. KaynLdr은 C와 ASM으로 작성된 로더로, 감염된 호스트에서 하복 데몬 에이전트를 실행할 수 있습니다.
구글 광고의 취약점 악용
이와 동시에, Malwarebytes는 위협 행위자들이 구글 광고 정책의 알려진 취약점을 계속해서 악용하고 있다고 밝혔습니다. 이들은 PayPal 고객을 대상으로 가짜 광고를 통해 개인 및 금융 정보를 탈취하려고 시도합니다. 구글의 정책 허점을 이용하여 인기 있는 웹사이트를 사칭하는 방식입니다.
방어 전략과 예방 조치
이러한 사이버 공격에 대비하기 위해서는 몇 가지 예방 조치를 취하는 것이 중요합니다. 첫째, 이메일을 통해 수신된 첨부 파일이나 링크를 열기 전에 항상 발신자의 신뢰성을 확인해야 합니다. 둘째, 시스템과 소프트웨어를 최신 상태로 유지하여 알려진 취약점을 악용한 공격을 방지해야 합니다. 셋째, 의심스러운 활동을 탐지하고 차단할 수 있는 강력한 보안 솔루션을 도입하는 것이 필요합니다.
마지막으로, 기업과 개인 모두가 사이버 보안에 대한 인식을 높이고, 정기적으로 보안 교육을 받는 것이 중요합니다. 사이버 공격은 날로 진화하고 있으며, 이에 대응하기 위해서는 지속적인 학습과 대비가 필요합니다.
결론
사이버 공격은 점점 더 정교해지고 있으며, 클릭픽스와 같은 새로운 기법은 이를 여실히 보여줍니다. 이러한 공격에 효과적으로 대응하기 위해서는 최신 보안 동향을 주시하고, 적절한 보안 조치를 취하는 것이 필수적입니다. 기술이 발전함에 따라 사이버 보안의 중요성은 더욱 커지고 있으며, 우리는 이에 대한 준비를 철저히 해야 할 것입니다.
이 글이 도움이 되셨다면, 사이버 보안에 대한 더 많은 정보를 얻기 위해 저희 블로그를 구독하시고, 최신 소식을 놓치지 마세요. 함께 안전한 디지털 환경을 만들어 나갑시다.