새로운 악성코드가 비밀번호나 2FA 없이 Gmail 수신함에 접근할 수 있습니다

사이버 보안 회사 Volexity의 연구원들이 비밀번호나 이중 인증(2FA) 키 없이 Gmail 및 AOL 웹메일 수신함에서 이메일을 훔칠 수 있는 새로운 악성 브라우저 확장을 발견했습니다.

Volexity 연구원들이 “SHARPEXT”라고 명명한 이 확장은 북한 지원 위협 그룹 ‘SharpTongue’와 연관되어 있으며, 이 그룹은 ‘Kimsuky’라는 이름으로도 알려져 있습니다.

SharpTongue는 북한, 핵 문제, 무기 시스템 및 북한의 전략적 관심사와 관련된 주제에 대해 일하는 미국, 유럽 및 한국의 조직에 고용된 개인들을 표적으로 삼고 피해를 주는 역사를 가지고 있습니다.

연구원들에 따르면, 2021년 9월 Volexity는 SharpTongue가 사용하는 흥미롭고 문서화되지 않은 악성코드 계열을 관찰하기 시작했습니다. 발견 이후 이 확장은 성장하고 있으며 현재 내부 버전 관리 시스템에 따라 3.0 버전입니다.

“SHARPEXT는 ‘Kimsuky’ 행위자가 사용한 이전에 문서화된 확장과는 다르게 사용자 이름과 비밀번호를 훔치려 하지 않습니다. 대신, 이 악성코드는 피해자의 웹메일 계정에서 데이터를 직접 검사하고 유출합니다.”라고 Volexity는 블로그 게시물에서 작성했습니다.

Volexity가 조사한 SHARPEXT의 첫 번째 버전에서는 이 악성코드가 Google Chrome만 지원했습니다. 그러나 최신 버전 3.0은 Google Chrome, Microsoft Edge 및 Naver의 Whale 브라우저를 지원하며 Gmail과 AOL 웹메일 모두에서 이메일을 훔칠 수 있습니다.

공격자는 악성 확장을 피해자의 장치에 설치하기 위해 브라우저의 Preferences 및 Secure Preferences 파일을 악성코드의 명령 및 제어(C2) 서버에서 다운로드한 파일로 교체합니다. 이 과정은 사용자 정의 VBS 스크립트를 사용하여 원격 서버에서 수신한 파일로 이루어집니다.

새로운 설정 파일이 손상된 장치에 다운로드되면 웹 브라우저는 SHARPEXT 확장을 조용히 로드하며 개발자 모드 확장을 실행하는 것에 대한 경고 메시지를 숨깁니다. 이로 인해 피해자의 이메일 제공자가 이를 감지하기 매우 어렵게 만듭니다.

“Volexity가 악성 브라우저 확장이 침해의 후속 단계의 일환으로 사용되는 것을 관찰한 것은 이번이 처음입니다. 이미 로그인된 세션의 맥락에서 이메일 데이터를 훔침으로써 공격이 이메일 제공자에게 숨겨져 감지가 매우 어렵습니다.”라고 연구원들은 말했습니다.

“유사하게, 확장이 작동하는 방식은 사용자가 이메일 ‘계정 활동’ 상태 페이지를 검토할 경우 의심스러운 활동이 기록되지 않도록 합니다.”

온라인에서 자신을 보호하기 위한 조치

Volexity는 이러한 공격을 광범위하게 감지하고 조사하기 위해 다음을 권장합니다:

• PowerShell ScriptBlock 로깅의 결과를 활성화하고 분석하십시오. PowerShell은 악성코드의 설정 및 설치에서 중요한 역할을 하므로 악성 활동의 식별 및 분류에 유용할 수 있습니다.

• 고위험 사용자의 장치에 설치된 확장을 주기적으로 검토하여 Chrome 웹 스토어에 없는 확장이나 비정상적인 경로에서 로드된 확장을 식별하십시오.

이러한 특정 공격을 방지하기 위해 보안 회사는 다음을 제안합니다:

• 관련 활동을 감지하기 위해 여기에서 YARA 규칙을 사용하십시오.

• 여기에서 나열된 IOC를 차단하십시오.