Smooth criminals talking their way into cloud environments, Google says

Context

기존의 이메일 피싱과 같은 비대화형 공격이 6%로 감소하면서 보안 위협의 구성이 변화하고 있다. 동시에 공격자들이 실시간 대화를 통한 대화형 공격으로 전환하면서 기존 IT 헬프데스크와 사용자 검증 체계가 새로운 위협에 노출되었다.

Technical Solution

• 음성 기반 피싱: 공격자가 IT 헬프데스크에 직접 전화하여 MFA 등록용 공격 제어 기기 등록 또는 비밀번호 재설정 요청
• ClickFix 공격 기법: 가짜 컴퓨터 문제 해결 팝업 또는 로봇 검증 프롬프트를 통해 사용자에게 악성 명령어 실행 유도
• 엣지 기기 침투 및 장기 잠복: 방화벽, 라우터, VPN 등 네트워크 엣지 기기의 제로데이 취약점 악용으로 엔드포인트 보안 제품 회피
• Brickstorm 백도어 배포: 중국 정부 스파이 그룹 UNC6201이 엣지 기기에 백도어를 설치한 후 수집한 유효 자격증명으로 VMware 환경 침투
• 초단시간 손오프(Hand-off): 초기 침투 그룹이 30초 이내에 랜섬웨어 또는 데이터 탈취 조직으로 접근 권한 이전

Impact

• 음성 기반 피싱이 초기 침입 벡터의 11%로 2순위 방법이며 클라우드 환경에서 1순위 공격 기법
• 취약점 악용은 6년 연속 1위로 성공적 공격의 32%를 차지
• 비대화형 피싱 이메일은 6%로 감소
• UNC6201의 평균 잠복 기간 393일, 중앙값 지연 시간 11일에서 14일로 증가
• 일부 위협 행위자의 잠복 기간이 400일에 달함

Key Takeaway

엣지 기기는 엔드포인트 보안 제품이 배포되지 않는 사각지대로, 공격자가 네트워크 트래픽 가로채기 및 평문 비밀번호 탈취로 수개월간 미탐지 상태를 유지할 수 있다. 또한 초기 침투에서 광범위 피해까지 30초 이내에 진행되므로 자동화 감지 및 대응 체계가 필수적이다.