위협 인텔리전스 기업인 싸이블 연구원들은 최근 ngrok 플랫폼을 악용하여 새로운 피싱 공격을 하는 캠페인을 발견했다.
ngrok는 로컬 서버를 인터넷에 노출시키는 데 사용되는 크로스 플랫폼 어플리케이션이다. 서버는 수명이 긴 TCP 터널을 생성하여 ngrok의 하위 도메인(4f421deb219c[.]ngrok[.]io)에서 호스팅되는 것으로 보인다. 전문가들은 ngrok 서버 소프트웨어가 VPS 또는 전용 서버에서 실행되며 NAT 매핑 및 방화벽 제한을 우회할 수 있다고 지적했다.
위협행위자들은 여러 악의적인 목적으로 프로토콜을 악용하고 있다.
싸이블은 분석 결과와 관련하여 “여러 위협행위자가 ngrok 플랫폼을 악용하여 추가 페이로드를 제공하고 신용/직불카드 정보와 같은 금융 데이터를 유출하고 표적 피싱 공격을 수행하기 위해 대상에 무단 접근을 시도한다”라고 밝혔다.
한 편 전문가들은 ngrok.com의 하위 도메인에 대한 연결이 보안 조치에 의해 필터링되지 않기 때문에 ngrok 플랫폼을 악용하는 공격은 탐지하기 어렵다고 지적했다.
또한 전문가들은 이번 공격이 APT 조직 Fox Kitten 및 Pioneer Kitten 그룹과 같은 국가 행위자들이 주로 수행한다고 밝히며 ngrok 터널링을 사용하는 새로운 악성코드/피싱 캠페인은 다음과 같다고 언급했다.
- Njrat
- DarkComet
- Quasar RAT
- asynrat
- Nanocore RAT
[출처 : 해커뉴스 / 2.16.]
![[보안뉴스 / 3.20.] 미국의 국가사이버보안전략, 보안 업계의 반응은 어떨까](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/03/주석-2023-03-21-105540-500x383.png)
![[보안뉴스 / 3.20.] 얼마 전 공개된 MS 아웃룩 제로데이 취약점, 올해 대표 취약점 될까?](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/03/주석-2023-03-21-105140-500x383.png)
댓글을 남겨주세요
로그인 후 댓글을 작성할 수 있습니다.