또 다른 악성코드가 우리의 삶을 더 고되게 만들 방법을 찾아냈다는 소식입니다. 이번에는 CloudZ 원격 제어 도구(RAT)에 역겨운 업그레이드가 추가되었습니다. 바로 ‘Pheno’라는 이름의 새로운 플러그인인데, 이게 하는 짓이… 참으로 짜증 나고 잠재적으로 파괴적입니다. 이 플러그인은 사용자의 스마트폰과 컴퓨터를 연결해주는 Microsoft Phone Link 애플리케이션을 악용합니다. 그런데 Pheno는 이 연결을 이용해 민감한 메시지, 특히 일회용 비밀번호(OTP)와 문자 메시지를 실제 모바일 기기를 건드리지 않고도 몽땅 빨아들이고 있습니다.
이건 그냥 이론적인 위협이 아닙니다. Cisco Talos 연구원들이 오늘 이 정보를 공개했는데, 1월부터 조용히 진행되어 온 침해 사례를 상세히 설명하고 있습니다. 목표는? 예상한 그대로입니다. 사용자 계정 정보 탈취 및 우리의 디지털 생활을 그럭저럭 안전하게 지켜주는 소중하고도 짧은 생명의 인증 코드들을 훔치는 것이죠.
Microsoft Phone Link. 아마 여러분도 사용하고 있을 겁니다. Windows 10과 11에 기본 탑재되어 있죠. 전화 걸고, 문자 보내고, 휴대폰 알림을 띄워줍니다. 편리하죠? 안타깝게도, 악당들에게는 무기화될 만큼 편리한 기능이었습니다. 이 무해해 보이는 연결을 가로챔으로써, 그들은 휴대폰으로 향하는 메시지를 가로챕니다. 탈옥이나 루팅 같은 복잡한 과정 없이 말이죠.
은밀한 접근, 도난당한 비밀
Pheno 플러그인. 이 공포 쇼의 주인공입니다. Cisco Talos에 따르면 이 플러그인은 활성화된 Phone Link 세션을 감시합니다. 세션을 발견하는 즉시, 애플리케이션의 로컬 SQLite 데이터베이스로 파고듭니다. 왜냐고요? 해당 데이터베이스에 SMS 메시지와, 예상하셨겠지만 OTP가 포함될 수 있기 때문입니다. 그래서 여러분이 로그인 코드 문자를 받으면, 운이 나쁘다면 공격자도 거의 동시에 그 코드를 받아볼 수 있습니다. 당신이 휴대폰에서 보기도 전에 말이죠. 마법은 공격자가 휴대폰을 해킹할 필요가 없다는 것입니다. 그저 Phone Link가 실행되고 있는 컴퓨터만 해킹하면 됩니다. 마치 개별 집의 자물쇠를 따지 않고 공유 우편함에서 편지를 훔치는 것과 같습니다.
Cisco Talos 연구원들은 “피해자 컴퓨터에서 Phone Link 활동이 확인되면, CloudZ RAT를 사용하는 공격자는 피해자 컴퓨터에 있는 Phone Link 애플리케이션의 SQLite 데이터베이스 파일을 가로챌 수 있으며, 이는 SMS 기반 OTP 메시지 및 기타 인증 앱 알림 메시지를 침해할 가능성이 있다”고 설명합니다.
그리고 CloudZ 자체도 가벼운 소프트웨어가 아닙니다. Pheno의 메시지 탈취 능력 외에도, 이 RAT는 여러분의 브라우저 데이터를 뒤지고, 시스템 정보를 프로파일링하며, 공격자가 원하는 거의 모든 것을 할 수 있습니다: 파일 관리, 명령어 실행, 화면 녹화, 그리고 여러분의 컴퓨터를 자신만의 놀이터로 만드는 것이죠. 공격자들은 악성 HTTP 트래픽을 일반 브라우저 요청처럼 보이게 하기 위해 사용자 에이전트 문자열을 회전시키고, 명령 및 제어 서버를 좀 더 파악하기 어렵게 만들기 위해 캐싱 방지 헤더까지 사용합니다. 안타깝게도 매우 정교한 기술입니다.
어떻게 침투하는가?
초기 침투 경로는? 아직 좀 불분명합니다. 연구원들도 정확히 밝혀내지 못했죠. 하지만 관찰된 감염 경로는 사용자가 가짜 ScreenConnect 업데이트처럼 보이는 것을 클릭하는 것으로 시작됩니다. 이것이 Rust로 작성된 로더를 떨어뜨리고, 이어 .NET으로 작성된 또 다른 로더를 배포합니다. 이 .NET 로더가 궁극적으로 CloudZ RAT를 설치하고, 지속성을 위해 예약된 작업을 사용하여 자리를 잡습니다. 그리고 분석을 방해하려는 시도도 만만치 않습니다. 이 .NET 로더는 샌드박스, Wireshark 및 Fiddler와 같은 분석 도구를 탐지하며, VM 관련 문자열까지 찾습니다. 그들은 자신의 더러운 작업을 분해당하고 싶어 하지 않습니다.
정말로 방어할 수 있는가?
Cisco의 조언은… 음, 수년간 우리가 해왔던 말과 같습니다. 가능하다면 SMS 기반 OTP는 버리세요. 제대로 된 인증 앱을 사용하세요. 그리고 정말 민감한 것들은요? 하드웨어 키를 고려하세요. 여러분의 휴대폰이 노트북과 대화하는 바람에 은행 계좌가 털리는 것을 피하려는 것뿐인 사용자들은… 잘해야 합니다. 여러분의 휴대폰이 노트북과 대화하는 바람에 은행 계좌가 털리는 것을 피하려는 것뿐인 사용자들은… 여러분 자신의 합법적인 소프트웨어를 사용하는 악성코드가 가로챌 수 있는 메시지에 의존하지 않는 것 말이죠.
Cisco Talos는 침해 지표(IoCs) 목록을 유용하게 공개했습니다. 차단해야 할 URL, 해시, 도메인, IP 주소 등이 포함되어 있습니다. 따라서 보안 팀을 운영하고 있다면 확인해보세요. 나머지 우리들에게는, 공격 표면이 단순히 인터넷만이 아니라 우리가 스스로 활성화하는 편리한 기능들 역시 포함한다는 또 다른 경고입니다.
이 Phone Link 악용 사례는 전형적인 실리콘밸리 방식처럼 느껴집니다. 무언가를 더 쉽게 만들기 위해 기능을 구축하고, 누군가가 그것을 망가뜨릴 방법을 찾아낼 때까지 기다리는 것이죠. 여기서 누가 돈을 버는 걸까요? 명백히 악성코드 제작자들이죠. 그리고 Microsoft는 OS 라이선스로 약간의 돈을 벌겠지만, 아마도 이 여파를 처리하는 데 더 많은 돈을 쓰고 있을 겁니다. 사용자들은요? 그냥 여러분의 휴대폰이 노트북과 대화하는 바람에 은행 계좌가 털리는 것을 피하려는 것뿐입니다.
이것은 단순히 CloudZ만의 문제가 아닙니다. 우리가 요구하는 상호 연결성에 대한 이야기입니다. 기기를 더 많이 연결할수록, Pheno와 같은 위협이 그 다리를 악용할 기회를 더 많이 만들어냅니다.
--- ### 🧬 관련 인사이트 - **더 읽기:** [CanisterWorm: 사이버 범죄자들이 클라우드 데이터 강탈을 위해 이란 긴장을 악용](https://threatdigest.io/article/canisterworm-cybercrooks-hijack-iran-tensions-for-cloud-data-heists/) - **더 읽기:** [사이버 보험 가이드: 기업들이 보장에 대해 알아야 할 사항](https://threatdigest.io/article/cyber-insurance-guide-what-businesses-need-to-know-about-coverage/) 자주 묻는 질문
Pheno 플러그인이 무엇을 하나요? Pheno는 CloudZ RAT의 플러그인으로, Microsoft Phone Link 활동을 모니터링하고 로컬 데이터베이스에 접근하여 피해자 컴퓨터에서 SMS 메시지와 일회용 비밀번호(OTP)를 훔칩니다.
제 아이폰에도 영향이 있나요? Microsoft Phone Link는 iOS를 지원하지만, Cisco Talos 보고서는 주로 안드로이드 기기와 윈도우 통합에서 더 일반적인 SMS 메시지 및 OTP 가로채기 능력을 구체적으로 언급합니다. 강조된 주요 위험은 윈도우 컴퓨터에 연결된 안드로이드 폰 사용자에게 있습니다.
SMS OTP 도용으로부터 자신을 보호하는 가장 좋은 방법은 무엇인가요? 보안 연구원들은 중요한 계정에 대해 SMS 기반 OTP 대신 전용 인증 앱(예: Google Authenticator 또는 Authy)을 사용하거나, 더 강화된 보안을 위해 하드웨어 보안 키(예: YubiKey)와 같은 피싱 방지 방법을 고려하도록 강력히 권장합니다. CloudZ 악성코드의 Phone Link 악용은 SMS OTP를 더욱 위험하게 만듭니다.
