DNS 위협 보고서 - 2022년 3분기
핵심 요약
Akamai 연구원들은 2022년 3분기에 모든 보호 디바이스의 14%가 악성 목적지와 적어도 한 번은 통신한 것으로 파악되었습니다.
이런 잠재적으로 감염된 디바이스를 자세히 분석한 결과, 디바이스의 59%는 멀웨어 또는 랜섬웨어 도메인과 통신했고, 35%는 피싱 도메인, 6%는 C2 도메인과 통신했습니다.
피싱 사기에서 악용되고 사칭하는 브랜드를 살펴보면 첨단 기술과 금융 브랜드가 캠페인 수와 피해자 수를 모두 주도했음을 알 수 있습니다. 피싱에 악용되는 주요 업계 카테고리는 2022년 1분기 결과와 일치합니다.
금융 서비스 고객을 대상으로 한 공격은 캠페인의 39.2%, 피해자의 61.6%를 차지해 2022년 3분기에 금융 서비스를 대상으로 한 피싱 공격이 매우 효과적이었던 것으로 나타났습니다.
잠재적 피해자를 소비자 또는 기업으로 분류한 결과 2022년 3분기 피싱 공격 캠페인의 93%가 2022년 전 분기 동안 소비자 공격이 더욱 우세하게 지속되고 있는 것으로 나타났습니다.
해당 분기에 하루 이상 사용된 고유 피싱 툴킷 299개를 추적했습니다. 이 키트의 총 53%가 최소 5일 동안 사용되었으며 이는 지속적인 성공을 의미합니다.
2022년 3분기에 가장 많이 재사용된 키트 중 하나를 추가 분석해 각 키트를 제공하는 데 사용된 서로 다른 도메인의 수를 계산한 결과 Adobe 및 M&T Bank 계정을 악용하는 키트가 최고의 툴킷인 것으로 나타났습니다. 500개 이상의 도메인을 가진 Adobe와 400개 이상의 도메인을 가진 M&T Bank.
DoT(DNS over TLS) 트래픽의 양은 2022년 3분기 첫째 주부터 2022년 3분기 마지막 주까지 40% 증가했습니다. 이는 원격으로 연결된 디바이스 간의 DNS 통신을 암호화하기 위해 DoT 사용을 도입하는 고객의 수가 23% 증가한 데 따른 것입니다.
DoT의 도입 증가는 지난 몇 년간 원격 작업을 지원하고 원격 작업을 지원하는 제로 트러스트 및 SASE(Secure Access Server Edge) 아키텍처를 도입했기 때문에 크게 증가했다고 생각합니다.
서론
고객의 보안을 더욱 강화하려는 지속적인 노력의 일환으로 광범위한 DNS 데이터에서 도출된 위협에 대한 조사 결과를 제시합니다. Akamai의 인사이트는 다양한 업계 및 지역에 걸친 통신 사업자 및 기업 보안 서비스의 글로벌 트래픽에 대한 가시성을 기반으로 합니다.
이 게시물에서는 2022년 3분기에 관측된 트래픽 인사이트, 피싱 캠페인 및 기타 악성 활동에 대해 간략하게 설명합니다.
Akamai 트래픽 인사이트
카테고리별 공격
다양한 업계 및 지역의 통신 사업자 및 기업 트래픽에 대한 Akamai의 가시성을 기반으로 살펴보면 2022년 3분기에 모니터링되는 디바이스의 10.6%가 해당 분기 동안 멀웨어와 관련된 도메인에 한 번 이상 접속을 시도했음을 알 수 있습니다. 다른 측면에서는 디바이스의 6.3%가 피싱 도메인에 접속하고 0.98%의 디바이스가 C2 관련 도메인에 접속한 적이 있다는 것을 확인할 수 있습니다.
2022년 3분기 결과와 2022년 1분기 및 2분기 결과(그림 1)를 비교하면 C2 측면에서 어느 정도 증가해 모든 카테고리에 걸쳐 안정성을 확인할 수 있습니다. 이러한 증가를 특정 공격 캠페인의 탓으로 돌릴 수 없기 때문에 위협 환경의 계절적 변화에 따른 것으로 보고 있습니다. 또한 이러한 증가는 취약한 디바이스의 증가로 인한 것일 수도 있습니다.
그림 1: 위협에 노출된 디바이스 - 2022
감염 가능성이 있는 디바이스와 다양한 위협 카테고리의 경우, 2022년 3분기에 디바이스의 59%가 멀웨어 활동과 관련된 위협에 노출되었고, 35%가 피싱, 6%가 C2(그림 2)에 노출된 것으로 나타났습니다.
그림 2: 2022년 3분기 카테고리별 감염 가능성이 있는 디바이스
피싱 공격 캠페인
어떤 브랜드가 피싱 사기에 의해 악용되고 모방되고 있는지 조사할 때, 데이터를 수집할 수 있는 여러 가지 방법이 있습니다. 이 게시물의 목적상 총 캠페인 수와 피해자 수를 비교 분석하였습니다. 이를 통해 특정 캠페인의 성공률을 평가하고 각 업계가 몇 퍼센트를 목표로 하고 있는지 확인할 수 있습니다.
캠페인과 피해자의 수가 첨단 기술 및 금융 브랜드가 모두 주도한다는 사실을 발견했습니다. 이러한 주요 피싱 업계 카테고리는 하이테크 및 금융 브랜드가 주요 카테고리를 차지했던 2022년 1분기 결과와도 일치합니다.
또한 금융 서비스 고객에 대한 캠페인의 39.2%가 활성화되어 61.6%의 피해자가 발생한 것으로 나타나 3분기 금융 서비스에 대한 공격이 매우 효과적임을 알 수 있었습니다(그림 3).
그림 3: 악용된 브랜드별 피싱 피해자 및 피싱 캠페인
더 많은 디지털 상거래 브랜드를 목표로 하는 공격자들
공격 캠페인(소비자 표적 계정과 비즈니스 표적 계정 비교)별로 분류된 피싱 공격 비율을 살펴보면 2022년 3분기 비즈니스 계좌와 소비자 계좌를 표적으로 하는 캠페인 간의 비율이 증가하고 있음을 알 수 있습니다. 소비자 공격의 증가는 디지털 상거래 브랜드를 악용하는 공격이 증가했기 때문이라고 보고 있습니다. 소비자 공격은 2022년 전반에 걸쳐 계속해서 가장 지배적이며, 2022년 3분기 공격 캠페인의 93%(그림 4)가 2022년 분기 동안 평균 88%를 기록하였습니다.
그림 4: 2022년 피싱 표적 계정 - 소비자 계정 vs 비즈니스 계정
비즈니스 공격의 비율은 감소했지만 비즈니스 계좌에 대한 공격 캠페인의 잠재적인 피해가 크며 표적 비즈니스 네트워크가 멀웨어나 랜섬웨어로 손상되어 기밀 정보가 유출될 리스크가 있다는 것을 기억하는 것이 중요합니다.
피싱이 비즈니스에 미칠 수 있는 영향에 대한 증거는 우버 해킹의최근 세부 사항에서 볼 수 있으며, 이는 기업이 피싱과 소셜 엔지니어링 공격에 얼마나 취약한지 보여줍니다.
피싱 툴킷
2022년 2분기 보고서에서 다루었듯이,피싱 툴킷의 존재로 인해 압도적인 피싱 현상의 규모와 중요도를 파악할 수 있습니다. 피싱 툴킷은 피싱 웹 사이트의 배포 및 유지를 지원해 비기술적 사기범도 피싱 적대적 환경에 참여해 피싱 스캠을 실행하고 실행하도록 유도합니다.
새로운 공격 캠페인을 시작하기 위해 실제에서 사용되는 299개의 서로 다른 피싱 툴킷을 추적한 Akamai 연구에 따르면 2022년 3분기에 추적된 키트의 2.01%가 63일 이상 재사용되었습니다(그림 5). 또한 53.2%의 키트가 최소 5일 동안 새로운 공격 캠페인을 시작하는 데 재사용되었으며, 추적된 키트의 100%는 3분기 동안 구별되는 3일 동안 재사용되었습니다.
그림 5: 2022년 3분기 재사용 일수별 피싱 툴킷
평균 툴킷은 2022년 3분기에 9일 동안 재사용되었으며, 이는 2022년 2분기 8일 동안 재사용한 평균 툴킷과 비교됩니다.
2022년 3분기에 가장 많이 재사용된 키트 중 하나를 추가 분석해 각 키트를 제공하는 데 사용된 서로 다른 도메인의 수를 계산한 결과 Adobe 및 M&T Bank를 악용하는 키트가 최고의 툴킷인 것으로 나타났습니다. 500개 이상의 도메인을 가진 Adobe와 400개 이상의 도메인을 가진 MT&Bank(그림 6).
그림 6: 상위 10대 재사용 피싱 툴킷
위에서 설명한 피싱 툴킷의 재사용 행태는 서비스형 피싱(phishing-as-a-service) 모델로 전환하고 인터넷 무료 서비스를 활용해 계속 확장되는 피싱 환경의 트렌드를 보여주는 더 많은 증거입니다. 피싱 공격은 여전히 그 어느 때보다도 관련성이 있으며 가장 취약할 때 찾아옵니다.
DNS over TLS 도입 트렌드
Akamai에서 DoT의 도입 및 사용에 대한 연구를 통해 기업 및 중소기업 고객의 DoT 도입률이 지속해서 증가하는 것을 확인할 수 있었습니다. DoT 값은 DNS 프로토콜 위에 TLS를 사용해 DNS 통신에 보안 및 개인 정보를 제공하고 DNS 트랜잭션의 가시성이 없는지 확인합니다. 2022년 3분기 첫 주부터 2022년 3분기 마지막 주까지 DoT 트래픽 양이 40% 증가했습니다(그림 7). 이는 원격으로 연결된 디바이스 간의 DNS 통신을 암호화하기 위해 DoT 사용을 도입하는 고객의 수가 23% 증가한 데 따른 것입니다.
DNS 트랜잭션이 일반 텍스트로 전송되기 때문에 DoT는 DNS 트래픽을 스니핑해 민감한 정보를 노출시키는 공격과 중간 시스템을 통해 DNS 트래픽을 조작하는 공격을 방지하는 데 도움이 됩니다.
그림 7: DoT 도입 트렌드(2022년 3분기)
DoT의 도입 증가는 주로 지난 몇 년 동안 원격 작업의 가능성과 원격 작업을 지원하는 제로 트러스트 및 SASE 아키텍처를 도입했기 때문에 크게 증가했다고 생각합니다. 인력이 분산되어 있으면 연결 디바이스가 공용 및 가정용 라우터의 모바일 네트워크를 통해 로밍되기 때문에 더 높은 리스크를 초래합니다. 그 중 일부는 취약하거나 감염될 수 있으며 더 많은 스니핑 및 중간 시스템 공격으로 이어질 수 있습니다.
결론
점점 더 많은 삶과 비즈니스가 디지털화됨에 따라 사이버 위협의 영향력은 더욱 커졌습니다. 센서에서 매우 많은 트래픽이 감지되기 때문에, 그 정보를 책임감 있게 분석하고 배포해야 합니다. 내일 있을 수 있는 일을 생각하려면 어제 일어난 일을 살펴봐야 합니다. 이것이 바로 이러한 보고서를 계속 생성하는 이유입니다.
연휴가 다가오면서 피싱이 성수기에 접어들 것으로 보입니다. 이러한 피싱 키트가 재사용되는 것은 번거로운 일이고, 이러한 피싱 키트가 처음부터 성공하고 있을 뿐만 아니라 계속해서 피해자를 만들고 있습니다. 이러한 툴킷이 점점 더 정교해지고 있기 때문에 연휴 기간을 비롯해 그 이후에도 항상 주의를 기울여야 합니다.
Akamai 연구원들은 커뮤니티에 정보를 제공하고 교육하기 위해 이러한 위협과 다른 위협들을 지속적으로 모니터링하고 있습니다. 이와 같은 최신 보안 연구와 같은 더 많은 정보를 원하시면 트위터에서 Akamai를 팔로우하세요.