최근 몇 달간 사이버 보안 연구자들은 클라우드플레어(Cloudflare) 터널 서비스를 악용하는 위협 행위자들이 급증하고 있다고 경고했다. 이 서비스는 원래 인터넷에서 IP 주소를 노출하지 않고 로컬 서버와 서비스에 안전하게 액세스할 수 있도록 설계되었지만, 현재는 사이버 범죄자들이 다양한 원격 접근 트로이 목마(RATs)를 배포하고 은밀한 연결을 유지하기 위해 악용하고 있다.

클라우드플레어 터널은 명령줄 도구를 통해 사용자가 클라우드플레어 네트워크에 안전한 아웃바운드 연결을 생성할 수 있도록 한다. 이 서비스는 원래 서버의 IP 주소를 숨기며, 안전한 원격 액세스, 리소스 공유 및 애플리케이션 테스트 등 합법적인 용도로 인기가 많다. 그러나 강력한 암호화와 간편한 배포 덕분에 사이버 범죄자들에게 매력적인 도구가 되었다.

사이버 보안 기업들은 클라우드플레어 터널이 악용된 여러 캠페인을 확인했다:

▶원격 접근 트로이 목마(RATs) 배포:

공격자들은 AsyncRAT, GuLoader, VenomRAT, Remcos RAT, Xworm과 같은 여러 RATs를 배포하기 위해 클라우드플레어 터널을 사용해왔다. 이 악성 소프트웨어는 감염된 시스템에서 키로깅, 화면 캡처, 데이터 유출 등 다양한 활동을 수행할 수 있게 한다​​.

▶은밀한 명령 및 제어(C2) 채널:

클라우드플레어 터널을 통해 공격자들은 전통적인 보안 조치를 회피하는 은밀한 C2 채널을 설정할 수 있다. 암호화된 터널은 악성 트래픽을 숨겨, 공격자들이 감염된 시스템과 아무런 경고 없이 통신할 수 있게 한다​​.

▶네트워크 방어 회피:

클라우드플레어의 신뢰받는 인프라를 사용함으로써 악성 트래픽은 합법적인 트래픽처럼 보인다. 또한, TryCloudflare 서비스를 통해 생성된 일시적인 터널은 방어자들이 악성 활동을 효과적으로 차단하기 어렵게 한다​​.

프루프포인트(Proofpoint)가 보고한 중요한 캠페인에서, 공격자들은 법률, 금융, 제조, 기술 분야의 조직들을 대상으로 했다. 공격 벡터는 클라우드플레어에 호스팅된 악성 .LNK 파일을 포함했으며, 이를 실행하면 파워쉘 명령을 실행하는 스크립트를 배포하고, 결국 RAT 페이로드를 다운로드 및 설치했다​.

이러한 공격을 예방하기 위해서, 조직은 클라우드플레어 터널 사용과 관련된 비정상적인 DNS 쿼리 및 아웃바운드 연결을 모니터링하기 위한 로깅 메커니즘을 구현해야 한다. 특정 쿼리와 클라우드플레어에서 사용되는 비표준 포트는 악성 활동의 징후가 될 수 있다​.

또 클라우드플레어 서비스를 합법적으로 사용하는 사용자는 특정 데이터 센터로 접근을 제한하고, 무단 터널 생성을 식별하기 위한 모니터링을 통해 노출을 줄일 수 있다. 이를 통해 의심스러운 터널을 식별하고 차단할 수 있다​.

그리고 전문가들은 초기 침입을 방지하기 위해 강력한 엔드포인트 보안 조치를 보장해야 한다. 정기적인 업데이트, 패치 관리, 피싱 공격에 대한 사용자 교육이 위험을 줄일 수 있다​고 강조한다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★