러시아 해커들이 MFA를 우회하여 Gmail 계정을 침해하다

사이버 공격의 새로운 우려스러운 물결 속에서, 러시아 국가 지원 사이버 위협 행위자가 미국 국무부를 사칭하여 특정 저명한 학자와 러시아 비판가들의 Gmail 계정에 무단으로 접근한 것으로 드러났습니다.

구글의 위협 정보 그룹(GTIG)의 보안 연구자들에 따르면, 공격은 최소한 4월부터 시작되어 2025년 6월 초까지 계속되었습니다. UNC6293라는 이름으로 추적되는 해커들은 잘 알려진 APT29/ICECAP 그룹과 연관되어 있을 것으로 의심되며, 피해자로부터 로그인 자격 증명을 추출하기 위해 정교하게 설계된 사회 공학 전술에 의존했습니다.

해커들은 악성코드가 아닌 기만을 사용했습니다

일반적인 악성코드나 노골적인 피싱 링크를 사용하는 대신, 공격자들은 보다 미묘한 접근 방식을 선택했습니다. 대신, 그들은 개인화된 이메일과 가짜 회의 초대를 보내며 시간에 걸쳐 대상과의 신뢰를 쌓았습니다. 신뢰성을 높이기 위해, 공격자들은 공식적인 미국 국무부 이메일 주소를 스푸핑하여 메시지의 CC 라인에 포함시키기도 했습니다.

영국의 러시아 연구자인 키르 자일스가 공유한 한 예시는 수신자 중에 신뢰할 수 있는 국무부 주소가 포함된 전달된 메시지를 보여줍니다—신뢰를 얻기 위해 사용된 주요 전술입니다.

대상이 응답하면, 공격자들은 각 수신자에 맞춤화된 PDF 파일을 보내며—공식 국무부 통신을 닮은 테마로—가짜 지침을 통해 안전한 미국 정부 시스템에 접근하는 데 도움을 주겠다고 주장했습니다.

실제로, 이 문서는 피해자에게 애플리케이션 전용 비밀번호(ASP)를 생성하도록 안내했습니다—Gmail 계정에 앱이 접근할 수 있도록 허용하는 16자리 고유 코드로, 2단계 인증을 우회합니다.

중요하게도, 피해자는 이 코드를 공격자에게 다시 보내도록 지시받았습니다. ASP를 가진 해커들은 사용자의 이메일에 탐지되지 않고 로그인할 수 있었으며, 정기적인 비밀번호나 MFA(다단계 인증) 경고를 트리거하지 않고도 장기적으로 접근할 수 있었습니다.

“공격자들은 ASP를 사용하기 위해 메일 클라이언트를 설정했으며, 이는 피해자의 이메일 통신에 접근하고 읽기 위한 최종 목표일 가능성이 높습니다. 이 방법은 또한 공격자들이 계정에 지속적으로 접근할 수 있게 합니다.”라고 GTIG는 목요일 블로그 게시물에서 썼습니다.

두 개의 캠페인, 하나의 전략

** GTIG는 두 개의 별개이지만 관련된 캠페인을 확인했습니다:

캠페인 1은 미국 국무부 테마를 사용하며, ASP 이름으로 “ms.state.gov”를 제안했습니다.

캠페인 2는 우크라이나 및 마이크로소프트 브랜드를 혼합하여 특징지었습니다.

두 캠페인은 동일한 주거 프록시(91.190.191.117)와 가상 사설 서버(VPS)를 인프라에서 사용하여 조사자들이 이를 연결하기 쉽게 만들었습니다.

취한 조치

구글은 이미 이러한 캠페인에 의해 침해된 Gmail 계정을 재보안했으며, 향후 이러한 종류의 공격을 방지하기 위해 적극적으로 작업하고 있다고 밝혔습니다. 회사는 사용자에게 ASP는 언제든지 생성 및 취소할 수 있다고 상기시킵니다. ASP가 생성되면, 구글은 자동으로 사용자의 해당 Gmail 계정, 복구 이메일 주소 및 해당 구글 계정으로 로그인된 모든 장치에 알림을 보내어 해당 작업이 의도적이었음을 확인합니다.

언론인, 활동가 및 정치 분석가와 같은 고위험 사용자에게 구글은 더 강력한 보안을 제공하고 ASP 생성을 완전히 비활성화하는 고급 보호 프로그램(APP)과 같은 향상된 보안 리소스를 제공합니다.

“전술과 기술에 대한 이해가 향상되기를 바라며, 이는 위협 탐지 능력을 강화하고 업계 전반에 걸쳐 사용자 보호를 강화하는 데 기여할 것입니다.”라고 블로그 게시물은 결론지었습니다.