호텔 피싱 캠페인에 대한 심층 분석으로 드러난 글로벌 위협
편집 및 추가 설명: 트리샤 하워드(Tricia Howard)
핵심 요약
Akamai 연구원들은 호텔 사이트와 그 고객을 표적으로 하는 정교한 피싱 캠페인을 지속적으로 조사하고 있습니다.
스위스, 홍콩, 캐나다에서 주목할 만한 DNS 트래픽이 발견되는 등 이 캠페인은 전 세계적인 위협이 되고 있습니다. 이탈리아, 아르헨티나, 싱가포르에서도 수많은 쿼리가 발생했습니다.
캠페인은 2023년 9월부터 활성화된 것으로 알려졌지만, 도메인 등록을 보면 2023년 6월에 도메인 이름이 등록되고 쿼리된 것을 알 수 있습니다.
서론
수년간의 인식과 논의에도 불구하고 피싱 은 여전히 기업과 개인 모두에게 가장 큰 사이버 위협으로 남아 있습니다. 피싱 캠페인은 점점 더 복잡해지고 정밀한 표적화가 가능해지면서 그 수법이 놀라울 정도로 진화하고 있습니다. Akamai는 연말연시 경품 사기, 암호화폐 경품 사기, 호텔 관련 캠페인 (2023년 9월에 발견됨) 의 배후에 있는 인프라에서 이러한 특징을 직접 확인했습니다.
호텔 캠페인의 두 번째 단계에 대한 초기 분석 이후, 더 깊이 파고들 필요가 있다는 것을 깨달았습니다.
온라인 환경에 대한 Akamai의 고유한 관점
Akamai는 전 세계 수많은 국가에서 매우 큰 규모의 DNS 쿼리 트래픽을 관측하고 있습니다. Akamai DNS 리졸버를 배포하는 고객사 중 상당수는 익명화된 로그를 Akamai와 공유하며, Akamai는 이를 통해 위협 리서치 및 분석을 수행하고 최종 사용자를 보호하기 위한 조치를 취할 수 있습니다. 온라인 환경에 대한 이러한 고유한 관점은 피싱 캠페인을 심층적으로 이해하는 데 필요한 토대를 제공합니다.
이 블로그 게시물에서는 이 캠페인의 일부로 밝혀진 IOC와 관련된 DNS 쿼리, 트래픽, FQDN(Fully Qualified Domain Name)에 대해 자세히 살펴보겠습니다.
도메인 이름 클러스터
심층적인 데이터 분석은 Akamai 팀이 DNS 트래픽에서 관찰한 모든 단일 FQDN이 나열된 강력한 내부 FQDN 통계 표에서 시작됩니다. 이 표는 타임스탬프 정보와 추가 메타데이터 같은 FQDN에 대한 추가 맥락도 제공합니다. 이를 통해 이번 캠페인에서와 같이 특정 대상을 심층 분석할 때 보다 깊고 정확한 분석이 가능합니다.
패턴 찾기
위협 연구원들이 처음 발견한 IP 91.215.40[.]30으로 분석을 시작합니다. 이 IP는 러시아에서 시작된 것으로 보이는 ASN AS57724에 속하는 것을 알 수 있습니다.
이 캠페인이 적어도 2023년 9월 초부터 활성화되었음을 알기 때문에 먼저 지난 몇 달 동안 91.215.40[.]30으로 확인된 FQDN으로 이 표를 필터링합니다(표 1).
FQDN |
클러스터 |
|---|---|
service10.wakkofkznmartyxa3244[.]site |
wakk |
booking.reservation-accept[.]info |
dashed |
booking.com-id2834440[.]info |
.com-id |
service10.wakkofkznmartyxa3244[.]site |
wakk |
booking.id17825117[.]date |
.id |
www.yandex.sberbank.com-id409712[.]com |
.com-id |
booking.id301628951[.]date |
.id |
booking.acquire-transaction[.]cloud |
dashed |
booking.com.id60157261[.]date |
.com.id |
static.wakkofkznmartyxa3244[.]site |
wakk |
booking.com-id2435142[.]info |
.com-id |
service10.wakkofkznmartyxa3244[.]site |
wakk |
booking.check-request[.]info |
dashed |
service10.wakkofkznmartyxa3244[.]site |
wakk |
pay.avito.avito.avito.com-id20341[.]info |
.com-id |
표. 1: 91.215.40[.]30으로 확인된 FQDN 샘플
이러한 FQDN 중 일부는 ‘예약’ 키워드를 추가하는 것과 같은 일반적인 콤보스쿼팅 기법을 따르지만, "wakkofkznmartyxa3244"와 같이 사람에게는 무의미한 항목도 일부 존재합니다.
표 1에서 볼 수 있듯이 FQDN에는 꽤 명확한 시각적 패턴이 있습니다. 이제 콤보스쿼팅 기법을 기반으로, 또는 이해할 수 없는 FQDN의 경우 FQDN의 텍스트 샘플을 기반으로 FQDN을 클러스터로 그룹화할 수 있습니다. wakk, dashed, .id, .com-id, .com.id의 다섯 가지 클러스터를 식별했습니다.
패턴 사용
이러한 클러스터를 식별한 후에는 추가 분석을 위해 정규식 패턴을 설계했습니다. 이를 통해 데이터를 필터링하고 각 클러스터에 대한 집계된 통계를 생성할 수 있었습니다. 또한 클러스터 내의 도메인에 대한 WHOIS 데이터를 결합했습니다(표 2).
클러스터. |
클러스터 크기. |
인기도 |
최초 등록 |
최초 발견 |
최근 관측 |
하위 도메인의 예 |
도메인의 예 |
|---|---|---|---|---|---|---|---|
wakk |
1 |
10x |
2023-06-14 |
2023-06-15 |
still going |
service10 |
wakkofkznmartyxa3244[.]site |
dashed |
10+ |
1x |
2023-07-16 |
2023-07-18 |
2023-09-03 |
booking. |
reservation-accept[.]info |
.id |
10+ |
1x |
2023-08-17 |
2023-08-18 |
still going |
booking. |
id11853502[.]date |
.com-id |
10+ |
1x |
2023-09-06 |
2023-09-07 |
still going |
avito.sber. |
com-id02349[.]info |
.com.id |
10+ |
1x |
2023-09-06 |
2023-09-08 |
still going |
booking.com. |
id60157261[.]date |
표 2: FQDN 클러스터에 대해 집계된 통계
표 2를 이해하려면 각 열을 정의해야 합니다.
클러스터 크기: 각 클러스터 내에 표시되는 도메인 이름의 수. 각 클러스터('wakk' 클러스터 제외)에는 모두 비슷해 보이고 동일한 패턴을 따르는 수십 개의 서로 다른 도메인 이름이 포함되어 있습니다.
인기도: 각 클러스터가 보는 상대적인 쿼리 수.
최초 등록: WHOIS 데이터에 따른 클러스터 내 모든 도메인의 가장 오래된 등록 날짜.
최초 발견: 내부 DNS 쿼리 로그에 따라 클러스터 내의 도메인에 대한 첫 번째 DNS 쿼리를 관찰한 날짜. Akamai는 각 도메인이 처음 등록된 후 1~2일 만에 발견했습니다.
최근 관측: 클러스터가 DNS 트래픽에 마지막으로 표시된 날짜.
하위 도메인의 예: 쿼리된 클러스터 내 하위 도메인의 예.
도메인의 예: 클러스터 내의 임의 단일 도메인 이름.
데이터 분석 결과
Akamai는 각 도메인이 처음 등록된 후 1~2일 만에 발견했습니다. 가장 먼저 관측한 것은 2023년 6월에 등록된 'wakk' 클러스터였습니다.
'wakk' 도메인은 다른 4개의 클러스터를 모두 합친 것보다 약 2.5배 더 많은 DNS 쿼리가 발생하는 등 가장 많은 수의 DNS 쿼리가 발생하고 있습니다. 이러한 대조는 이 도메인이 리디렉션이나 일종의 허브로 사용되고 있음을 나타낼 수 있습니다.
이 캠페인의 표적 레이어가 여러 개(첫 번째는 호텔, 두 번째는 해당 호텔의 게스트)라는 점을 고려할 때, 이 블로그 게시물이 게시된 날짜를 기준으로 'dashed' 클러스터를 제외한 나머지 4개의 클러스터가 모두 여전히 활성화되어 있다는 점은 문제가 될 수 있습니다. 이 클러스터는 등록 날짜가 가장 빠르지만 2023년 9월 3일에는 이 클러스터에 대한 쿼리가 더 이상 표시되지 않습니다.
가장 많은 리스크를 초래하는 클러스터부터 단계적으로 제거
이 데이터를 통해, 공격자가 원래는 'dashed' 클러스터를 사용했지만 단계적으로 폐지하고 다른 세 클러스터를 계속 사용하기로 결정했다고 추론할 수 있습니다. ‘dashed’ 클러스터의 트래픽이 9월 3일에 중단되었고 .com-id 및 .com.id 클러스터의 가장 초기 도메인 이름이 9월 6일에 등록되었다는 사실은 이 추론에 신빙성을 더합니다. 또한 ‘dashed’ 클러스터는 가장 ‘전통적인’ 사기 도메인으로 구성되어 있어 위협 감시자나 다른 사람들의 탐지 리스크가 높았을 수 있습니다.
클러스터가 비활성 상태인 동안에도 .id, .com-id, .com.id 클러스터를 통해 쿼리가 계속 들어옵니다.
‘dashed’ 클러스터는 현재 대시를 통해 연결된 다음과 같은 두세 개의 사전적 단어와 .com, .date, .info, .cloud, .site TLD를 사용합니다.
acceptacquire
approve
booking
check
confirm
confirmation
guest
process
request
reserve
reservation
safe
secure
transaction
다른 세 개의 클러스터는 다음 정규식 패턴을 FQDN에 적용해 대략적으로 파악할 수 있지만, 결과를 IP 주소 범위로 추가로 필터링해야 할 수도 있습니다.
- .id cluster
.*\.id\d{4,9}\.(com|top|date|email|info|site|cloud)$ .com-id cluster
.*\.com-id\d{4,9}\.(com|top|date|email|info|site|cloud)$- .com.id cluster
.*\.com\.id\d{4,9}\.(com|top|date|email|info|site|cloud)$
다른 IP 주소로 확장
위 분석에서는 91.215.40[.]30으로 확인되는 FQDN을 구체적으로 다루었습니다. 그러나 가능성이 낮기는 해도, 이 캠페인을 구성하는 IP 주소가 더 많을 수 있습니다. 다양한 클러스터를 캡처하기 위해 설계한 정규식 패턴으로 원시 FQDN 통계 표를 쿼리해 관련된 다른 IP가 있는지 확인했습니다.
91.215.40[.]22로 확인되는 동일한 클러스터를 발견했는데, 이는 91.215.40[.]30과 동일한 ASN의 일부입니다. 이 분석을 통해 이 IP 주소를 원래 게시물의 IOC 목록에포함시켰습니다.
세계적인 위협
지역별 관점에서 볼 때 대부분의 DNS 트래픽이 스위스, 홍콩, 캐나다에서 발생하는 것으로 나타났습니다. 이탈리아, 아르헨티나, 싱가포르에서도 많은 쿼리가 발생합니다. 피싱 캠페인의 글로벌한 특성은 이러한 사기를 구성하는 정교한 인프라를 보여주는 또 다른 증거입니다. 이 캠페인은 특정 국가나 지역을 대상으로 하지 않기 때문에 추적하기가 더욱 어렵습니다.
지리적으로 특정 DNS 트래픽은 있지만 .ru와 같은 국가 코드 TLD(Top Level Domain)는 발견되지 않았습니다. .com, .top, .date, .email, .info, .site, .cloud 같은 일반 TLD만 관찰되었습니다.
하위 도메인 수준에서는 다양한 브랜드 이름이 부적절한 방식으로 사용되는 것을 확인할 수 있었습니다. 브랜드의 TLD가 문제인 경우도 있었습니다.
booking.com.id60157261[.]date 같은 첫 번째 수준 하위 도메인
booking.com-id2435142[.]info 같은 도메인 이름의 시작 부분
booking.id17825117[.]date 같은 누락
이 세 가지 방법은 레벨스쿼팅 및 콤보스쿼팅 의 조합으로 요약할 수 있습니다.
booking.com 외에도 러시아에서 흔히 볼 수 있는 브랜드인 avito, sber, sberbank, yandex 등 여러 브랜드가 있습니다. 이러한 일반적인 러시아 브랜드를 사용하는 것은 캠페인이 러시아 사용자를 표적으로 하는 경우에만 의미가 있는 것으로 보이기 때문에 흥미롭습니다. 즉, 역심리학이 작용해 공격자가 사용자가 믿기를 원하는 것이 허위 사실이어야만 하기 때문입니다.
WHOIS 분석
Akamai가 발견한 클러스터 내의 도메인 이름에 대한 WHOIS 데이터를 살펴보겠습니다.
대부분의 도메인이 NameSilo를 등록기관으로사용하고 있는 것을 발견했습니다. 이러한 도메인의 WHOIS 데이터에 등록된 가장 일반적인 연락처는 PrivacyGuardian입니다. PrivacyGuardian은 NameSilo의 일부입니다. 악성 공격자는 NameSilo를 통해 이러한 도메인 이름을 등록한 다음, 신원을 숨기기 위해 PrivacyGuardian 기능을 사용한 것으로 보입니다.
다른 등록기관을 통해 등록된 도메인 이름도 발견했습니다. 당연히 대부분은 WHOIS 연락처 세부 정보가 비어 있거나 임의의 이름을 포함하고 있었습니다.
또한, 각 클러스터 내에서 DNS 쿼리를 수신했지만 (WHOIS 데이터에 따르면) 실제로 등록되지 않은도메인 이름도 여러 개 발견했습니다. 호텔 직원의 디바이스에 설치된 멀웨어가 명령 및 제어 주소에 접근하는 동시에 연결이 성공적으로 설정될 때까지 다양한 도메인에 동시에 접근하는 것으로 보입니다.
결론
DNS와 WHOIS 데이터만으로도 현재 작동 중인 피싱 캠페인에 대한 높은 수준의 인사이트를 얻을 수 있었습니다. 이 캠페인은 전 세계에 영향을 미치는 것으로 보이며, 현재 7개의 TLD에 분산된 5개의 서로 다른 도메인 이름 클러스터를 포함하고 있습니다. Akamai는 이러한 클러스터를 포착하는 데 사용 가능한 패턴을 확인했습니다. 이러한 패턴을 통해 현재 이 캠페인과 관련된 두 개의 IP 주소 91.215.40[.]30과 91.215.40[.]22를 확인할 수 있었습니다.
이 캠페인의 기만적인 전술 중에는 레벨스쿼팅과 콤보스쿼팅 같은 사이버 스쿼팅 기법을 사용하는 것이 있습니다. 더 나아가 공격자가 캠페인에 다수의 러시아 브랜드를 사용해 러시아 사용자만 표적이 되는 것처럼 보이게 하려고 시도했을 가능성이 있음을 발견했습니다.
관심 유지
Akamai의 최신 보안 리서치 내용을 확인하려면 Twitter에서 Akamai를 팔로우하세요.
