팬텀블루 피싱 공격, MS 오피스 기능 악용해 탐지 회피중
최근 이스라엘의 사이버 보안 업체 퍼셉션포인트(Perception Point)가 발견한 '오퍼레이션 팬텀블루(Operation PhantomBlu)'라는 이름의 정교한 피싱 캠페인은 교묘한 방식으로 미국 조직을 표적으로 삼고 있다. 이 공격은 마이크로소프트 오피스 트릭을 사용하여 NetSupport RAT를 배포했다.
팬텀블루(PhantomBlu) 공격은 마이크로소프트 오피스 문서 내의 개체 연결 및 임베딩(OLE) 템플릿 조작을 활용해 기존 피싱 기법에서 벗어난 것이다. 공격자는 오피스 애플리케이션의 고유한 기능을 악용해 탐지를 회피하면서 악성코드를 실행할 수 있다.
퍼셉션 포인트의 보안 연구원은 팬텀블루에 사용된 미묘한 익스플로잇 방법을 경고했다. 그는 공격자들이 자신의 활동을 감추기 위해 브레보(이전의 센딩블루)와 같은 합법적인 이메일 마케팅 플랫폼을 활용하여 피싱 이메일의 신뢰성을 높인다고 지적했다.
공격은 피해자의 회계 부서에서 보낸 커뮤니케이션으로 가장한 표적 피싱 이메일로 시작된다. 급여 정보를 주제로 한 이 이메일은 수신자에게 월급 보고서가 포함된 것으로 보이는 첨부된 워드 문서를 열도록 유도한다.
워드 문서를 열면 수신자에게 제공된 비밀번호를 입력하고 편집을 활성화하라는 메시지가 표시된다. 이 무해해 보이는 상호작용은 문서에 포함된 악성코드의 실행을 트리거하여 파워쉘 드로퍼의 배포로 이어진다. 이 드로퍼는 원격 서버에서 NetSupport RAT 바이너리를 검색하고 실행하여 공격자에게 손상된 엔드포인트에 대한 액세스 권한을 부여한다.
팬텀블루는 페이로드를 전달하기 위해 암호화된 .doc와 템플릿 인젝션을 사용한다는 점에서 차별화된다. 이러한 기법은 기존의 탐지 메커니즘을 회피할 뿐만 아니라 이전에는 NetSupport RAT 배포에서 볼 수 없었던 수준의 정교함을 보여준다.
특히 최근 퍼블릭 클라우드 서비스 및 웹 3.0 데이터 호스팅 플랫폼을 악용하는 사례도 증가하고 있고 드랍박스, 깃허브와 같은 플랫폼은 물론 IPFS(InterPlanetary File System)와 같은 새로운 기술까지 완전히 탐지할 수 없는 피싱 URL을 생성하는 데 악용되어 피싱 공격의 범위와 효과가 증폭되고 있는 상황이다.
이러한 악성 URL은 종종 지하 공급업체를 통해 판매되고 하트센더와 같은 도구를 사용하여 배포되며, 서비스형 피싱의 차세대 진화를 보여주고 있다. 월 200달러부터 시작하는 가격으로 위협 공격자들은 평판이 높은 인프라를 악의적인 목적으로 활용할 수 있어 그들의 활동을 탐지하고 완화하기가 더 어려워지고 있는 현실이다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★