DarkGate 악성코드, 팀즈(Teams)·AnyDesk 악용해 원격 설치 주의

Attackers Exploit Microsoft Teams and AnyDesk to Deploy DarkGate Malware

 

• 공격 개요
  • 공격자가 마이크로소프트 팀즈(Microsoft Teams)로 접근하여 외부 공급업체를 사칭
  • 원격 지원 도구 설치를 유도하여 AnyDesk로 악성코드 배포 (Microsoft Remote Support 설치 실패 후 AnyDesk 권장)
  • 최종적으로 다크게이트(DarkGate) 악성코드를 내려받아 자격 증명 탈취, 화면 캡처, 키로깅, 원격 데스크톱 등 수행
• 공격 과정
  1. 팀즈 접속: 공격자가 피해자에게 접근, 공급업체 직원인 척 의사소통
  2. 이메일 폭격: Rapid7 보고서에 따르면 피해자 이메일에 대량 스팸 발송 후 팀즈로 유입
  3. AnyDesk 설치: 공격자는 MS Remote Support 대신 AnyDesk 사용 권장
  4. 원격 접근: AnyDesk 활용해 피해자 시스템에 접근, 크리덴셜 스틸러 및 DarkGate 투입
  5. 사후 활동: 자격 증명, 화면 캡처, 키 입력 등 민감 정보 탈취 시도
• DarkGate 특징
  • 2018년부터 활동, 현재는 말웨어-서비스(MaaS) 형태로 제한된 고객에 판매
  • 기능
    • 자격 증명 탈취, 키로깅, 화면/오디오 녹음, 원격 데스크톱 등
    • AutoIt, AutoHotKey 스크립트 기반 배포
    • 최신 사례: AutoIt 스크립트 통해 악성코드 실행
• 유사 피싱·멀버타이징 동향
  • 유튜브 브랜드 사칭: 컨텐츠 크리에이터 이메일 해킹 후 Lumma Stealer 배포
  • QR 코드 피싱: PDF 이메일 내 QR 코드로 MS 365 로그인 위장 페이지 연결
  • Cloudflare Pages, Workers: MS 365 로그인 페이지 위장, CAPTCHA 페이지 유도
  • HTML 첨부: 자바스크립트 내장으로 사용자 피싱 사이트 리다이렉트, ClickFix 기법
  • Docusign, Adobe InDesign, Google AMP: 신뢰도 높은 플랫폼 사칭, 링크 클릭 유도
  • Okta 지원팀 위장: 사용자 자격 증명 탈취 기도
  • 인도 사용자 대상 왓츠앱 메시지: 악성 은행/유틸리티 앱 설치 후 금융 정보 절취
• 보안 권고
  1. 다중 인증(MFA) 적용: 업무용 계정, 팀즈·이메일 등에서 MFA 사용
  2. 정상 원격 접근 툴 화이트리스트: 승인된 Remote Access Software만 허용
  3. 불명확한 AnyDesk 설치 유도 경계: 외부 공급업체라며 AnyDesk 설치 권고 시 재검증
  4. 이메일·메신저 보안: 스팸 폭탄, 피싱 링크 모니터링/차단
  5. 사용자 교육: 팀즈 등 협업 툴 통해 낯선 요청 수신 시 신원 확인
  6. 로그 및 활동 모니터링: AnyDesk 설치, AutoIt 스크립트 실행, 의심스러운 프로세스 생성 등 즉시 탐지
  7. 중요 이벤트 모방 피싱 경계: 스포츠, 이벤트 시점에 키워드 포함 도메인/링크 주의