1Campaign: 악성 구글 광고 장기간 탐지 회피하는 사이버 범죄 플랫폼

사이버 범죄 플랫폼 1Campaign, 악성 구글 광고의 은밀한 배포 지원

보안 연구원들은 위협 행위자들이 장기간 탐지되지 않은 채 악성 구글 광고를 배포할 수 있게 하는 새로운 사이버 범죄 서비스(CaaS, Cybercrime-as-a-Service) 플랫폼 1Campaign을 발견했습니다. 이 서비스는 악성코드 유포에 활발히 악용되면서도 보안 팀과 연구원들의 감시를 피해가고 있습니다.

주요 발견 사항

BleepingComputer의 보고서에 따르면, 1Campaign은 위협 행위자들에게 구글 광고 네트워크에서 악성 광고 캠페인을 생성하고 관리할 수 있는 도구를 제공합니다. 이러한 광고는 주로 합법적인 소프트웨어 다운로드 또는 업데이트로 위장되어 사용자를 악성코드가 호스팅된 공격자 제어 웹사이트나 침해된 사이트로 유도합니다. 플랫폼의 회피 기법 덕분에 광고 캠페인은 구글의 보안 메커니즘에 탐지되지 않고 수주에서 수개월 동안 지속될 수 있습니다.

기술적 세부 사항

1Campaign은 탐지를 회피하기 위해 여러 가지 전술을 사용합니다:

• 난독화(Obfuscation): 악성 페이로드는 자동화된 스캐닝 도구를 우회하기 위해 강력한 난독화가 적용됩니다.
• 도메인 로테이션(Domain Rotation): 공격자들은 도메인 차단을 방지하기 위해 자주 도메인을 변경합니다.
• 행위 기반 회피(Behavioral Evasion): 플랫폼은 보안 도구에는 정상 콘텐츠를 제공하면서 타겟 사용자에게는 악성 페이로드를 전달하는 클로킹 기법을 사용합니다.
• 트래픽 필터링(Traffic Filtering): 보안 연구원이나 샌드박스 환경에서 오는 요청을 식별하고 차단하여 분석을 제한합니다.

이러한 광고를 통해 배포되는 악성코드에는 정보 탈취 악성코드(information stealers), 원격 접근 트로이목마(RATs), 랜섬웨어 등이 포함되며, 개인과 조직을 모두 대상으로 합니다. 최근 캠페인에서 발견된 주요 악성코드로는 RedLine Stealer, Lumma Stealer, SectopRAT 등이 있습니다.

영향 분석

악성 광고의 장기간 노출은 특히 인기 있는 소프트웨어나 도구를 검색하는 사용자들의 감염 위험을 증가시킵니다. 조직은 다음과 같은 이유로 높은 위험에 노출됩니다:

• 공격 표면 증가: 직원이 합법적인 소프트웨어로 위장한 악성코드를 실수로 다운로드할 수 있습니다.
• 데이터 유출: 정보 탈취 악성코드는 자격 증명, 금융 데이터 및 기타 민감한 정보를 탈취할 수 있습니다.
• 운영 중단: 랜섬웨어나 RAT는 시스템 침해, 데이터 암호화 또는 무단 접근으로 이어질 수 있습니다.

보안 팀을 위한 권고 사항

1Campaign 및 유사한 위협으로부터의 위험을 완화하기 위해 보안 전문가들은 다음 조치를 취해야 합니다:

1. 광고 모니터링 강화: 최종 사용자에게 도달하기 전에 악성 광고를 탐지하고 차단할 수 있는 도구를 배포합니다.
2. URL 필터링 구현: 이와 같은 캠페인과 관련된 악성 또는 의심스러운 도메인에 대한 접근을 제한합니다.
3. 사용자 교육: 특히 가짜 소프트웨어 다운로드를 유도하는 피싱 및 악성 광고(malvertising) 전술에 대해 직원을 교육합니다.
4. 위협 인텔리전스 활용: 악성 광고 캠페인과 신흥 CaaS 플랫폼을 추적하는 위협 인텔리전스 피드를 구독합니다.
5. 최소 권한 원칙 적용: 잠재적 감염의 영향을 줄이기 위해 사용자 권한을 제한합니다.

결론

1Campaign의 등장은 사이버 범죄 서비스의 진화된 정교함을 보여주며, 저숙련 위협 행위자들도 효과적인 악성 광고 캠페인을 실행할 수 있게 합니다. 보안 팀은 시스템이나 데이터가 침해되기 전에 이러한 위협을 탐지하고 무력화하기 위한 사전 조치를 취해야 합니다.

출처: BleepingComputer