페이스북 애즈와 비즈니스 플랫폼 노리는 사이버 범죄 그룹, 덕테일

베트남에서 페이퍼컴파니까지 차려가며 진지하게 페이스북 계정들을 노리는 그룹이 있다. 덕테일이라는 이름의 이 단체는 자신들의 광고 수익을 높이기 위해 꽤나 정교한 작업을 진행한다. 다행히 방어가 그리 어렵지는 않다.

[보안뉴스 문가용 기자] 페이스북 애즈(Facebook Ads)와 페이스북 비즈니스(Facebook Business) 플랫폼을 사용하는 개인과 기업들을 전문적으로 노리는 사이버 공격 단체가 잠깐의 휴식기를 끝내고 돌아왔다. 그냥 돌아온 게 아니라 더 많은 전략과 도구들을 가지고 왔다.
 

[이미지 = utoimage]

문제의 공격 단체는 덕테일(Ducktail)이라고 알려진 베트남 그룹이다. 2021년 5월부터 활동을 시작했으며, 수많은 국가의 페이스북 비즈니스 계정들을 탈취해 왔다. 보안 업체 위드시큐어(WithSecure)에 따르면 덕테일의 가장 근본적인 목적은 페이스북 비즈니스 계정들을 탈취한 후, 이 계정들을 통해 특정 광고를 노출시켜 부당한 수익을 거두는 것이라고 한다.

진화하는 전략
위드시큐어는 올해 초 덕테일을 처음 발견해 추적해 왔다. 그러면서 이들의 여러 가지 전략과 전술들에 대해 지난 7월에 공개했다. 덕테일도 위드시큐어의 이러한 발표를 접했는지, 얼마 지나지 않아 모든 활동을 접었다. 하지만 최근 다시 등장해 활동하는 것을 보면 숨어서 자신들의 전략과 전술을 새롭게 가다듬는 데 집중한 것으로 보인다.

덕테일이 새롭게 나타난 건 지난 9월의 일이다. 즉 약 2달 간의 공백기를 가진 것이다. 그 동안 이들은 탐지 회피 기술을 강화했다. 위드시큐어에 덜미를 잡혔지만 기죽지 않고 오히려 자신들의 부족한 점을 보완한 것이라고 볼 수 있다. 새로 나타난 후 활동도 왕성하게 이뤄가는 중이다. 또한 여러 범죄 단체와 협력하여 움직이는 모습도 보이고 있다.

덕테일은 원래 링크드인에서 주로 활동했었다. 여기서 표적을 선정해 스피어피싱 공격을 가하는 식으로 피해자를 늘렸다. 지금도 이 전략이 사용되고 있지만, 2달 만에 나타난 덕테일은 여기에 한 가지 전략을 추가했다. 왓츠앱까지도 활용하기 시작한 것이다. 여기에 더해 원래 사용하던 정보 탈취형 멀웨어에 기능을 더함으로써 탐지 회피 기능을 덧입혔다. 또한 베트남에 여러 페이퍼컴파니들을 개설함으로써 멀웨어에 디지털 서명을 추가할 수도 있게 됐다.

위드시큐어의 연구원인 모하마드 카젬 하산 네자드(Mohammad Kazem Hassan Nejad)는 “이들의 궁극적인 목적은 비즈니스 계정을 훔치고 이 계정을 통해 각종 광고 수입을 높이는 것”이라고 설명한다. 하지만 금융 기관의 페이스북 비즈니스 계정을 훔치는 데 성공할 경우 업체의 신용카드 정보와 금융 정보를 조작하기도 한다. “그렇게 함으로써 광고비를 허위로 결제하기도 합니다. 아니면 광고 구독 신청을 해당 계정을 통해 하기도 하고요. 광고 수익을 허위로 부풀리는 게 이들이 하는 모든 악성 행위의 근본적인 목적입니다.”

표적 공격
덕테일이 공격을 시작할 때 제일 먼저 하는 일은 페이스북 비즈니스나 페이스북 애즈 계정을 가지고 있는 기업이나 개인을 찾는 것이다. 그 중에서도 권한이 높은 담당자들을 선호하는 편이다. 그렇기 때문에 현재까지 공격 표적이 된 사람들은 관리자나 임원진, 디지털 마케팅 부문 책임자나 그에 준하는 사람들이었다고 한다.

표적이 정해졌으면 그 다음 왓츠앱과 링크드인이라는 플랫폼을 통해 스피어피싱 공격을 실시한다. 이 스피어피싱 공격의 목표는 피해자의 시스템에 덕테일의 정보 탈취형 멀웨어를 심는 것이다. 이 멀웨어는 브라우저 쿠키, 페이스북 세션 쿠키, 레지스트리 정보, 페이스북 보안 토큰, 페이스북 계정 정보 등을 훔쳐서 외부로 빼돌리는 기능을 가지고 있다. 피해자의 이름, 카드 정보, 지불 한도, 피해자의 지위, 클라이언트 ID, 광고 계정 권한 등의 정보를 훔쳐낸다.

그런 후에는 이런 정보들을 활용해 덕테일 공격자들이 소유한 이메일 주소를 비즈니스 및 애즈 계정에 연결시킨다. 피해자 조직은 자기도 모르게 권한이 높은 비즈니스 혹은 애즈 계정을 남에게 넘겨주게 되는 것이다. 이 때 페이스북은 이메일을 통해 인증 링크를 보내는데, 연결시키려는 이메일이 공격자의 이메일이므로 별 문제가 되지 않는다.

이제 덕테일은 피해자의 페이스북 계정에 대한 관리자 권한을 갖게 된다. 그것도 자신의 이메일 주소가 연결된 계정이다. 이런 상황에서 공격자는 여러 가지를 할 수 있다. 각종 설정 내용을 열람하고 조작할 수 있고, 연결된 사람이나 계정, 연락처 정보도 바꿀 수 있다. 기업의 프로파일도 고칠 수 있다. 그러니 광고를 새롭게 구독하거나 특정 광고를 계속해서 열람하는 것도 가능하다.

향상된 멀웨어
네자드는 “덕테일의 정보 탈취형 멀웨어 이전 버전에는 공격자들이 사용하던 이메일 주소들이 하드코딩 되어 있었다”고 말한다. “하지만 최근 버전의 경우 이런 취약점들이 전부 사라졌습니다. 공격에 사용하는 이메일 주소들은 전부 C&C 채널로부터 공급을 받습니다. 참고로 덕테일의 C&C 서버는 텔레그램 채널에 마련되어 있습니다.”

이런 식의 공격을 막으려면 어떻게 해야 할까? 네자드는 “제일 먼저 스피어피싱 및 피싱 공격에 대한 훈련과 인식 제고가 필요하다”고 강조한다. 특히 각종 플랫폼의 기업용 계정을 운영하는 담당자들이라면 이런 부분에서 더 높은 수준의 교육과 훈련이 필요하다고 그는 힘주어 설명한다.

“기본적으로 애플리케이션 화이트리스팅을 통해 승인되지 않은 실행파일이 실행되지 않도록 하는 것도 좋은 방법입니다. 개인 장비나 직원들에게 공급한 회사 장비들 중 회사 페이스북 계정을 관리하는 데 동원되는 것들은 주기적으로 보안 검사를 실시하고 꾸준한 모니터링도 해야 합니다. 기본적인 보안 실천 사항을 지키는 것만큼 확실한 방어 방법은 없습니다.”

3줄 요약
1. 베트남의 공격 그룹 덕테일, 2개월 만에 강화된 모습으로 재등장.
2. 페이스북 애즈와 페이스북 비즈니스 계정을 탈취해 광고 수익을 부풀리는 데 활용.
3. 공격의 시작은 링크드인과 왓츠앱을 통한 스피어피싱.
[국제부 문가용 기자(globoan@boannews.com)] 

----------

와. 대박.