포세이돈 작전: 구글 광고 리다이렉션 메커니즘을 악용한 스피어 피싱 공격
포세이돈 작전: 구글 광고 리다이렉션 메커니즘을 악용한 스피어 피싱 공격
Konni APT 그룹이 구글 광고 클릭 추적에 사용되는 도메인(ad.doubleclick[.]net)의 리다이렉션 URL 구조를 악용해 스피어 피싱 공격을 수행했습니다. 공격자는 실제 악성 파일이 호스팅된 외부 인프라로
www.genians.co.kr
- 코니(Konni) APT의 포세이돈 작전(Operation Poseidon)
- 한국 내 인권단체와 금융기관을 사칭한 사회공학적 전술을 반복적으로 활용하며, 특정 대상을 겨냥한 고도의 표적화된 공격 활동을 지속적으로 전개하고 있는 것으로 식별됨
- Key Findings
- 공격자는 구글 광고의 리다이렉션 메커니즘을 악용해 보안 필터링과 사용자 경계심을 우회함
- 취약한 WordPress 웹사이트가 악성파일 유포 및 C2(명령제어) 기반으로 악용됨
- EndRAT 악성코드가 PDF로 위장된 Autolt 스크립트를 통해 로드됨
- 단일 보안 솔루션만으로 대응이 어려워 EDR이 필수적
- 공격 방식
- 초기 접근
- 정상 광고 URL처럼 보이는 링크를 공격 메일에 포함
- 해당 링크는 광고 클릭 추적/리다이렉션을 활용해 최종 악성 파일이 있는 서버로 유도함
- ad.doubleclick.net(google 광고) 또는 mkt.naver.com(네이버 광고) URL이 중간 단계로 사용되며 보안 필터를 우회함
- 악성 콘텐츠 전달
- 사용자가 링크를 클릭하면 ZIP 파일이 다운로드됨
- ZIP 파일 안에 LNK(바로가기) 파일이 있고, 이것이 PDF 문서처럼 위장되어 실행을 유도함
- LNK 파일은 실제로 Autolt 스크립트를 호출해 EndRAT을 로드
- 실행 및 악성코드 로딩
- Autolt 스크립트는내부적으로 PDF처럼 보이도록 설계됨
- 이를 통해 원격접속형 악성코드(EndRAT)를 메모리에서 실행시켜 공격자가 원격 제어나 정보 수집 등의 활동을 수행하도록 함
- 초기 접근
- 대응 및 시사점
- EDR(엔드포인트 탐지)
- 스크립트 실행과 악성코드 행동을 기반으로 탐지해야 효과적
- 광고 URL 기반 공격의 위험성
- 광고 리다이렉션 메커니즘의 악용 가능성
- 사회공학 기법 지속 진화
- 신뢰할 수 있는 기관으로 가장한 이메일이 점점 정교해지며, 사용자 인식 교육도 필수적이 됨
- EDR(엔드포인트 탐지)
'swuforce 심화팀 > 기술스터디' 카테고리의 다른 글
| [Ahnlab] 카카오톡 설치하려다 감염? 검색 노린 악성코드 주의 (0) | 2026.03.23 |
|---|---|
| [ESTSECURITY] 영상 픽셀 속 악성코드, '픽셀코드(PixelCode)' 공격기법 (0) | 2026.02.10 |
| [IGLOO] "2026년도 사이버보안 실태 평가지표" 주요 개정내용으로 본 공공 보안 정책의 변화 (0) | 2026.01.13 |
| [ASEC] VPN 홈페이지에서 유포 중인 NKNShell 악성코드 (0) | 2025.11.18 |
| [ESTsecurity] ZIP 파일 실행 시 주의! 7-Zip 원격 코드 실행 취약점 발견 (0) | 2025.11.11 |