이란 해커, 독일 모델 에이전시 사칭 공격: 표적 정보 수집 및 악성 코드 배포 시도 포착

최근 팔로알토 네트웍스의 Unit 42 연구팀은 이란 해커들이 독일 유명 모델 에이전시를 사칭하여 공격을 감행한 정황을 포착했다고 발표했습니다. 이들은 가짜 웹사이트를 구축, 표적의 시스템 정보를 수집하고 향후 악성 코드 배포나 로그인 정보 탈취를 시도할 가능성이 있습니다. 이번 공격은 정교한 사회 공학 기법과 정보 수집 기술을 결합한 것으로, 사이버 보안에 대한 경각심을 다시 한번 일깨워 줍니다.

가짜 웹사이트, 진짜와 구별하기 힘든 정교함

해커들은 "Megamodelstudio[.]com"이라는 도메인을 통해 가짜 웹사이트를 구축했습니다. 이 웹사이트는 독일 함부르크에 위치한 실제 모델 에이전시 "megamodelagency.com"과 매우 흡사하게 제작되어 일반 사용자들이 쉽게 구별하기 어렵습니다. 두 웹사이트는 디자인, 콘텐츠, 심지어 모델 프로필까지 거의 동일하게 구성되어 있어, 자세히 살펴보지 않으면 가짜 웹사이트임을 알아차리기 힘듭니다.

숨겨진 JavaScript, 표적의 시스템 정보 수집

가짜 웹사이트에는 난독화된 JavaScript 코드가 삽입되어 있습니다. 이 코드는 웹사이트 방문자의 브라우저 언어, 플러그인, 화면 해상도, 타임스탬프 등 다양한 시스템 정보를 수집합니다. 또한, 사용자의 로컬 및 공용 IP 주소를 파악하고, 캔버스 핑거프린팅 기술을 사용하여 장치를 식별하며, SHA-256 해시 알고리즘을 통해 장치 고유의 해시값을 생성합니다. 수집된 정보는 JSON 형식으로 구성되어 "/ads/track" 엔드포인트로 전송됩니다.

표적 정보 수집 목적은 ‘선별적 공격’

Unit 42 연구팀은 이러한 정보 수집의 목적이 "선별적 공격"을 위한 것이라고 분석했습니다. 해커들은 수집된 정보를 바탕으로 공격 대상을 선별하고, 맞춤형 공격을 수행할 가능성이 있습니다. 예를 들어, 특정 브라우저 버전이나 플러그인을 사용하는 사용자를 대상으로 악성 코드를 배포하거나, 특정 IP 주소 대역에서 접속하는 사용자의 로그인 정보를 탈취하는 등의 공격을 시도할 수 있습니다.

가짜 모델 프로필, 악성 코드 배포의 도구로 활용될 가능성

가짜 웹사이트에는 실제 모델 프로필 외에 가짜 프로필 페이지가 포함되어 있습니다. 현재 이 페이지는 작동하지 않지만, Unit 42 연구팀은 향후 악성 코드 배포나 로그인 정보 탈취를 위한 도구로 활용될 가능성이 있다고 분석했습니다. 예를 들어, 가짜 모델 프로필 페이지에 악성 코드가 숨겨진 이미지를 업로드하거나, 피싱 링크를 삽입하여 사용자들을 속일 수 있습니다.

배후는 이란 해커 조직, Agent Serpens 또는 APT35 추정

Unit 42 연구팀은 이번 공격의 배후로 이란 해커 조직을 지목했습니다. 특히, Agent Serpens (Charming Kitten 또는 APT35로도 알려짐) 조직의 소행일 가능성이 높다고 추정했습니다. Agent Serpens는 과거에도 언론인 사칭, 백도어 악성 코드 배포 등 다양한 사이버 공격을 수행한 전력이 있는 악명 높은 해커 조직입니다.

맺음말

이번 이란 해커의 독일 모델 에이전시 사칭 공격은 사회 공학 기법과 정교한 기술적 수법이 결합된 사이버 공격의 전형적인 사례입니다. 사용자들은 의심스러운 웹사이트 방문을 자제하고, 보안 소프트웨어를 최신 상태로 유지하며, 개인 정보 보호에 더욱 신경 써야 합니다. 또한, 기업들은 직원 대상 보안 교육을 강화하고, 사이버 위협에 대한 대응 체계를 구축하여 유사한 공격에 대비해야 할 것입니다.