사이버 공격의 새로운 위협: DNS 레코드 관리 소홀이 부르는 재앙

최근 사이버 보안 업계에 새로운 위협이 떠오르고 있습니다. 바로 устаревшие DNS 기록을 악용한 공격입니다. 해커들은 주요 기관의 서브 도메인을 탈취하여 악성코드를 유포하고 온라인 사기를 벌이는 수법을 사용하고 있습니다. 이는 단순히 운이 좋은 해킹이 아니라, 기업의 간과된 인프라 취약점을 파고드는 교활한 공격 방식입니다.

"흐릿한 매" Hazy Hawk의 등장

보안 전문가 Infoblox에 따르면, 이 공격의 중심에는 "Hazy Hawk"라는 위협 그룹이 있습니다. 이들은 직접적인 해킹 대신, 사용자의 신뢰를 악용하여 공격 효과를 극대화하는 전략을 사용합니다. Hazy Hawk은 잘못 구성된 DNS CNAME 기록과 연결된 방치된 클라우드 리소스를 활용합니다.

방치된 DNS, 사이버 공격의 통로가 되다

이른바 "댕글링" 레코드는 조직이 클라우드 서비스를 폐기했지만, 해당 서비스를 가리키는 DNS 항목을 업데이트하거나 삭제하는 것을 잊었을 때 발생합니다. 예를 들어, something.bose.com과 같은 잊혀진 서브 도메인이 여전히 사용되지 않는 Azure 또는 AWS 리소스를 가리키고 있다면, Hazy Hawk은 해당 클라우드 인스턴스를 등록하여 합법적인 Bose 서브 도메인을 장악할 수 있습니다.

보안 시스템을 무력화하는 공격

이러한 방식은 기존 보안 시스템에서 일반적으로 플래그되지 않기 때문에 더욱 위험합니다. 재구성된 서브 도메인은 가짜 바이러스 백신 경고, 기술 지원 사기, 소프트웨어 업데이트로 위장한 악성코드 등 다양한 사기를 위한 플랫폼으로 사용됩니다. 사용자들은 합법적인 웹사이트를 방문했다고 생각하지만, 실제로는 팝업 광고와 악성코드에 노출될 수 있습니다.

TDS를 활용한 교묘한 리디렉션

Hazy Hawk은 단순히 서브 도메인을 탈취하는 데 그치지 않고, 트래픽 배포 시스템(TDS)을 사용하여 사용자를 탈취된 서브 도메인에서 악성 목적지로 리디렉션합니다. viralclipnow.xyz와 같은 TDS는 사용자의 장치 유형, 위치, 브라우징 행동을 분석하여 맞춤형 사기를 제공합니다. 리디렉션은 겉보기에는 무해한 개발자 또는 블로그 도메인(share.js.org 등)에서 시작될 수 있으며, 사용자를 기만적인 웹으로 안내합니다.

지속적인 위협, 푸시 알림 사기

사용자가 푸시 알림 요청을 수락하면, 초기 감염 후에도 오랫동안 사기 메시지를 받게 됩니다. 이는 지속적인 사기 경로를 설정하는 것과 같습니다. 이 캠페인의 결과는 이론적인 것에 그치지 않고, CDC, Panasonic, Deloitte와 같은 유명 조직과 기업에 영향을 미쳤습니다.

개인과 조직 모두의 주의가 필요

개인은 출처가 불분명한 사이트의 푸시 알림 요청을 거부하고, 지나치게 좋은 제안이 담긴 링크를 조심함으로써 이러한 위협으로부터 자신을 보호할 수 있습니다. 조직은 DNS 관리에 더욱 주의를 기울여야 합니다. 폐기된 클라우드 서비스에 대한 DNS 항목을 제거하지 않으면 서브 도메인이 탈취될 위험에 노출됩니다. 자동화된 DNS 모니터링 도구, 특히 위협 인텔리전스와 통합된 도구는 손상의 징후를 감지하는 데 도움이 될 수 있습니다. 보안 팀은 이러한 잘못된 구성을 사소한 실수가 아닌 중요한 취약점으로 간주해야 합니다.

맺음말

결론적으로, устаревшие DNS 레코드는 사이버 공격의 심각한 위협으로 작용할 수 있습니다. 개인과 조직 모두 경각심을 가지고 예방 조치를 취해야 합니다. DNS 관리를 강화하고, 의심스러운 링크를 조심하며, 최신 보안 도구를 활용하여 사이버 공격으로부터 자신을 보호해야 합니다.