Cloudflare 기반 고도화 피싱 공격 캠페인 분석

Hackers Exploit Cloudflare for Advanced Phishing Attacks

Hackers Exploit Cloudflare for Advanced Phishing Attacks

 

• 캠페인 개요
  • 러시아어 사용 위협 그룹이 주도한 고도화된 피싱 공격 캠페인 발견
  • Cloudflare 플랫폼(Pages.dev, Workers.dev)과 Telegram을 악용하여 탐지를 회피하고 공격 범위 확장
  • DMCA 삭제 요청으로 위장한 메시지를 활용해 사용자에게 악성 파일 다운로드 유도
• 감염 벡터 및 유포 방식
  • 피싱 페이지: Cloudflare 도메인을 기반으로 정적 웹사이트 형태로 구성
    • "Get Document" 버튼 클릭 시 감염 시작
    • Windows의 search-ms 프로토콜을 활용해 LNK 파일 다운로드 및 실행 유도
  • LNK 파일 실행 시 PowerShell 스크립트를 통해 악성 페이로드 다운로드
    • ZIP 압축파일 포함
      • Python 기반 악성코드
      • 정상 Python 실행 파일
  • 감염 후 시작프로그램 폴더에 바로가기 생성하여 지속성 확보
  • Pyramid C2 서버와 통신 수행
• 탐지 회피 기술
  • Python 스크립트 내 설정값을 무작위 문자열(junk characters)로 위장하여 분석 방해
  • 정당한 플랫폼을 기반으로 한 유포 방식으로 탐지 우회 시도
  • 기존 공격과 유사한 흐름이지만 일부 구조는 점진적으로 고도화됨
• Telegram 연동을 통한 피해자 추적
  • 악성 PowerShell 스크립트 내 하드코딩된 봇 토큰 및 채팅 ID 포함
  • 감염 시스템의 외부 IP 정보를 Telegram 봇에 전송
  • “ПШ КОД ЗАПУСК”(“PS 코드 실행”)이라는 그룹을 통해 공격 운영 정보 공유
    • 관리자, 봇 운영자 등 구성원 존재
• 인프라 운영 실수 및 노출 요소
  • 일부 서버의 오픈 디렉터리를 통해 악성 페이로드와 설정 파일 노출
  • 연구자들이 이를 바탕으로 20개 이상의 관련 도메인 식별
  • 인프라 세부 정보 노출로 공격자의 활동 맵 작성 가능
• 보안 권고
  • 정상 플랫폼 악용 대응 필요
    • Cloudflare, Telegram, Python 등 합법적 기술 사용의 악용에 대비한 보안정책 강화 필요
  • 프로토콜 핸들러 취약점 관리 중요
    • search-ms 등 프로토콜 기반 우회 기법 모니터링 강화
  • 오픈 디렉터리 탐지 및 차단 필요
    • 외부에서 접근 가능한 디렉터리와 설정 파일 주기적 점검
  • DevSecOps 보안 통합 권장
    • CI/CD 파이프라인, 인프라 설정 등 개발-운영 연계 구간의 보안 강화
  • Telegram 위협 인텔리전스 분석 연동
    • 악성 봇 활동 탐지 및 봇 토큰 패턴 수집 통한 대응 체계 구축
• 결론
  • Cloudflare, Telegram 등 신뢰 기반 플랫폼을 악용한 고도화된 피싱 공격의 증가
  • 정적 웹페이지, 프로토콜 핸들러, 파일 위장 등의 복합적 공격 기법 적용
  • 분석 방해 및 탐지 우회를 위한 지속적인 전술 고도화 시도
  • 정상 서비스에 대한 오용 및 사전 방지 체계 필요성 대두