당신은 혹시 당신의 받은 편지함만이 해커들의 은신처라고 생각하시나요? 다시 생각해 볼 때입니다. 최근 UNC6692라는 이름의 범죄 집단이 보여준 행태는 그들이 훨씬 더 은밀하고, 솔직히 말해 더 성가시게 접근하고 있음을 시사합니다. 이들은 단순히 문을 두드리는 수준을 넘어, 당신이 신뢰하는 도구를 이용해 기회를 엿보고 있습니다.
여기서 진짜 주목해야 할 것은 단순히 또 다른 악성코드 배포가 아니라는 점입니다. 바로 그 대담함입니다. 이들은 당신의 일상적인 기업용 도구가 공격 대상이 되기 쉽다고 판단했습니다. 협업의 중심이라고 불리는 마이크로소프트 팀즈는 이제 그들의 기만적인 문이 됩니다. 그리고 당신의 브라우저는요? 갑자기 단순히 고양이 동영상을 검색하는 용도를 넘어, 교묘한 확장 프로그램 덕분에 트로이 목마가 되어버립니다.
아직도 당신의 디지털 문을 굳게 잠그려는 사람들을 위한 설명입니다. UNC6692는 이메일을 범람시킵니다. 고전적인 분산 기법이죠. 그리고 짜잔. IT 지원팀을 사칭하는 마이크로소프트 팀즈 메시지가 도착합니다. 넘쳐나는 받은 편지함을 해결해주겠다며 말이죠. 당신이 해야 할 일은 ‘로컬 패치’를 설치하라는 링크를 클릭하는 것뿐입니다. 쉽죠? 틀렸습니다. 해당 링크는 단순히 스크립트뿐만 아니라, 이름이 변경된 AutoHotKey 바이너리까지 은밀하게 다운로드하는 웹페이지로 이어집니다. 이름이 일치하면, 쾅. 스크립트가 실행되고 피해가 시작됩니다.
UNC6692 캠페인은 사회 공학 기법, 맞춤형 악성코드, 그리고 악성 브라우저 확장 프로그램의 사용이라는 측면에서 전술의 흥미로운 진화를 보여줍니다. 이는 피해자의 다양한 기업용 소프트웨어 공급업체에 대한 본능적인 신뢰를 이용하는 방식입니다.
이것은 방화벽을 두드리는 스크립트 키디 수준이 아닙니다. 계산된 행동입니다. 그들은 당신이 IT 부서를 신뢰한다는 것을 알고 있으며, 팀즈 알림을 신뢰할 것이라고 확신합니다. SNOWBELT라고 명명된 이 악성코드는 크롬 웹 스토어에서 숨어 다니려고 하지도 않습니다. 직접 설치되는 홈그로운(homegrown) 위협입니다. 그리고 여기서 멈추지 않습니다.
지속성이 핵심, 명백합니다.
SNOWBELT가 설치되면, 시스템 시작 프로그램과 조화롭게 작동합니다. 윈도우 시작 폴더의 바로가기는 당신이 두 번째 커피를 마시기도 전에 다시 온라인 상태가 되도록 보장합니다. 그런 다음 진짜 마법이 일어납니다: 예약 작업입니다. 이것은 단순히 SNOWBELT를 실행 상태로 유지하기 위한 것이 아닙니다. 오, 아닙니다. 이들은 악성코드가 실행되지 않는 마이크로소프트 엣지 프로세스를 찾아 종료하도록 설계되었습니다. 말 그대로 엣지에 악성 확장 프로그램을 강제로 설치하여, 당신의 브라우저를 그들의 개인 스파이로 변모시키는 것입니다.
이 모든 과정 - 팀즈를 이용한 유인, AutoHotkey 스크립트, 악성 브라우저 확장 프로그램 - 은 사회 공학 기법과 맞춤형 도구의 교향곡입니다. 이는 당신의 신뢰와 일상적인 소프트웨어에 대한 의존도를 악용하도록 설계되었습니다. 이것은 배달원인 척하며 당신의 현관문을 열게 만드는 것과 같은 디지털 버전입니다.
이것이 일반 사람들에게 왜 중요할까요?
이것은 최고 경영진이나 IT 보안 팀만이 걱정해야 할 문제가 아닙니다. 이것은 일반 직장원에게 직접적인 영향을 미칩니다. 이는 겉보기에 무해해 보이는 알림조차 함정이 될 수 있음을 의미합니다. 또한, 당신이 잊고 있었을지도 모르는 확장 프로그램으로 구동되는 평범한 브라우징 습관이 심각한 침투의 경로가 될 수 있다는 것을 의미합니다. 이것은 경계가 단순히 사이버 전사만을 위한 것이 아니라, 컴퓨터에 로그인하는 모든 사람에게 필요한 것임을 분명히 상기시켜 줍니다.
UNC6692가 초기 침투 후 네트워크 내에서 이동할 수 있는 능력, PsExec 및 RDP와 같은 도구를 자체 SNOWGLAZE 터널을 통해 사용하는 것은 그들이 단순히 데이터를 훔쳐 떠나는 것이 아님을 의미합니다. 그들은 파고들고, 탐색하며, 잠재적으로 광범위한 혼란을 야기합니다. 이것은 단순한 날치기가 아니라, 세밀하게 계획된 점령입니다.
브라우저 확장 프로그램이 진짜 악당입니다.
SNOWBELT, 이 악성 크로미움 브라우저 확장 프로그램은 핵심입니다. 이것이 당신의 웹 트래픽과 직접적으로 상호작용하며, 돌아다니며 추가 페이로드를 가져오는 부분입니다. 디지털 벽 안의 스파이로 생각하십시오. 끊임없이 공격자에게 정보를 전달하는 역할을 합니다. 공식 채널을 사용하지 않고 배포한다는 사실 자체가 당신의 모든 경보 장치를 울려야 합니다.
이것이 사회 공학 기법을 우리가 처음 보는 것은 아닙니다. 그러나 팀즈, 맞춤형 AutoHotkey 악성코드, 그리고 깊숙이 내장된 브라우저 확장 프로그램의 조합은 정교한 확대를 나타냅니다. 이것은 끊임없이 다듬어지는 플레이북이며, 우리는 이러한 실험의 대상입니다. 현명해지세요. 회의적으로 생각하세요. 당신의 디지털 삶이 그것에 달려 있습니다.
SNOWBELT 이후에는 무슨 일이 일어날까요?
SNOWBELT가 자리 잡으면, 공격자들은 멈추지 않습니다. 그들은 SNOWGLAZE와 SNOWBASIN과 같은 추가 맞춤형 악성코드를 다운로드하는 데 사용합니다. 또한 AutoHotkey 스크립트와 휴대용 파이썬 환경을 배포합니다. 이러한 다단계 접근 방식을 통해 유연성을 유지하며, 환경 내에서 발견하는 것에 따라 도구를 조정할 수 있습니다. 그들은 단 하나의 폭탄만 떨어뜨리는 것이 아니라, 일단 내부에 들어가면 전체 무기고를 구축합니다.
그런 다음 내부 정찰이 시작됩니다. UNC6692는 파이썬 스크립트를 사용하여 취약한 포트에 대해 네트워크를 스캔합니다. 그 후, SNOWGLAZE 터널을 사용하여 원격으로 명령을 실행합니다. 그들은 더 깊은 접근 권한을 얻기 위해 로컬 관리자 계정을 찾고 있습니다. 그들의 목표는 워크스테이션에서 서버로, 모든 단계에서 권한을 상승시키며 측면으로 이동하는 것입니다. 이것이 어떻게 침해가 나쁨에서 치명적으로 변하는지를 보여줍니다.
🧬 관련 인사이트
- 더 읽어보기: 70달러 헬프데스크 티켓: 비밀번호 재설정이 해커들의 정문이 된 방법
- 더 읽어보기: ChatGPT의 조용한 데이터 유출, 안드로이드 루트킷 수백만 감염, 랜섬웨어 수처리 시설 공격: 실제 사이버 위협
자주 묻는 질문
UNC6692란 무엇인가요? UNC6692는 사회 공학 기법과 맞춤형 악성코드를 사용하여 피해 네트워크에 침투하는 새로 식별된 위협 그룹입니다.
UNC6692는 어떻게 악성코드를 전달하나요? 그들은 마이크로소프트 팀즈에서 IT 지원팀으로 위장하여 피해자를 속여 악성 링크를 클릭하게 만들며, 이 링크는 SNOWBELT라는 악성 브라우저 확장 프로그램을 포함한 맞춤형 악성코드 스위트를 다운로드합니다.
