Facebook의 광고 및 비즈니스 플랫폼에서 개인과 조직을 대상으로 하는 금전적 동기를 가진 위협 행위자가 계정을 하이재킹하고 이를 통해 이익을 얻을 수 있는 새로운 트릭을 사용하여 잠시 중단한 후 작업을 재개했습니다.
덕테일(Ducktail)이라고 불리는 베트남 기반 위협 캠페인은 최소 2021년 XNUMX월부터 활동해 왔으며 미국 및 기타 XNUMX개국 이상의 Facebook 비즈니스 계정 사용자에게 영향을 미쳤습니다. Ducktail을 추적하고 있는 WithSecure(이전의 F-Secure)의 보안 연구원들은 위협 행위자의 주요 목표가 제어할 수 있는 Facebook 비즈니스 계정을 통해 부정하게 광고를 내보내는 것이라고 평가했습니다.
진화하는 전술
WithSecure는 올해 초 Ducktail의 활동을 발견하고 XNUMX월 블로그 게시물에서 전술과 기술에 대한 세부 정보를 공개했습니다. 공개 Ducktail의 운영자는 캠페인을 계속하기 위한 새로운 방법을 고안하는 동안 잠시 운영을 중단해야 했습니다.
9 월, 덕테일 재포장 작동 방식과 탐지 회피 메커니즘이 변경되었습니다. 위드시큐어(WithSecure)는 22월 XNUMX일자 보고서에서 이 그룹이 활동 속도를 늦추기는커녕 여러 제휴 그룹을 온보딩하면서 운영을 확장한 것으로 보인다고 밝혔다.
링크드인을 스피어 피싱 대상의 수단으로 사용하는 것 외에도 이전 캠페인, Ducktail 그룹은 이제 사용하기 시작했습니다. 사용자 타겟팅을 위한 WhatsApp 또한. 이 그룹은 또한 주요 정보 도용자의 기능을 조정하고 탐지를 피하기 위해 새로운 파일 형식을 채택했습니다. 지난 XNUMX~XNUMX개월 동안 Ducktail은 베트남에 여러 사기 회사를 등록했는데, 이는 악성 코드에 서명하기 위한 디지털 인증서를 얻기 위한 표지로 사용된 것으로 보입니다.
WithSecure Intelligence의 연구원인 Mohammad Kazem Hassan Nejad는 "Ducktail 작전이 순전히 사기성 광고를 내보냄으로써 돈을 벌기 위해 하이재킹된 비즈니스 계정 액세스를 사용한다고 생각합니다."라고 말합니다.
Nejad는 위협 행위자가 손상된 Facebook 비즈니스 계정의 재무 편집자 역할에 액세스할 수 있는 상황에서 거래, 송장, 계정 지출 및 지불 방법과 같은 비즈니스 신용 카드 정보 및 재무 세부 정보를 수정할 수 있다고 말했습니다. . 이를 통해 공격자는 신용 카드 및 월별 인보이스에 다른 비즈니스를 추가하고 연결된 결제 방법을 사용하여 광고를 게재할 수 있습니다.
"그러므로 하이재킹된 비즈니스는 광고, 사기 또는 허위 정보 확산과 같은 목적으로 사용될 수 있습니다."라고 Nejad는 말합니다. "공격자는 새로 발견한 액세스 권한을 사용하여 회사를 자신의 페이지에서 차단하여 회사를 협박할 수도 있습니다."
표적 공격
Ducktail 운영자의 전술은 먼저 Facebook 비즈니스 또는 광고 계정이 있는 조직을 식별한 다음 계정에 대한 높은 수준의 액세스 권한이 있다고 인식하는 회사 내의 개인을 대상으로 하는 것입니다. 그룹이 일반적으로 목표로 삼은 개인에는 디지털 마케팅, 디지털 미디어 및 인적 자원 분야에서 관리 역할 또는 역할을 가진 사람들이 포함됩니다.
공격 체인은 공격자가 LinkedIn 또는 WhatsApp을 통해 대상 개인에게 스피어 피싱 미끼를 보내는 것으로 시작됩니다. 유혹에 빠진 사용자는 시스템에 Ducktail의 정보 도용 프로그램을 설치하게 됩니다. 이 악성코드는 피해자 컴퓨터에서 저장된 모든 브라우저 쿠키와 Facebook 세션 쿠키, 특정 레지스트리 데이터, Facebook 보안 토큰 및 Facebook 계정 정보를 추출하는 등 여러 기능을 수행할 수 있습니다.
이 악성코드는 이름, 확인 통계, 광고 지출 한도, 역할, 초대 링크, 클라이언트 ID, 광고 계정 권한, 허용된 작업 및 액세스 상태를 포함하여 Facebook 계정과 관련된 모든 비즈니스에 대한 광범위한 정보를 훔칩니다. 맬웨어는 손상된 Facebook 계정과 연결된 모든 광고 계정에서 유사한 정보를 수집합니다.
정보 도용자는 "피해자의 Facebook 계정에서 정보를 훔치고 공격자가 제어하는 이메일 주소를 관리자 권한과 재무 편집자 역할을 가진 비즈니스 계정에 추가하여 피해자가 충분한 액세스 권한을 가진 모든 Facebook 비즈니스 계정을 탈취할 수 있습니다"라고 Nejad는 말합니다. Facebook Business 계정에 이메일 주소를 추가하면 Facebook이 이메일을 통해 해당 주소로 링크를 보내도록 요청합니다. 이 경우 이 주소는 공격자가 제어합니다. WithSecure에 따르면 위협 행위자는 해당 링크를 사용하여 계정에 대한 액세스 권한을 얻습니다.
피해자의 Facebook 계정에 대한 관리 액세스 권한을 가진 위협 행위자는 비즈니스 계정을 완전히 제어하는 것을 포함하여 많은 피해를 입힐 수 있습니다. 설정, 사람 및 계정 세부 정보 보기 및 수정 심지어 비즈니스 프로필을 완전히 삭제한다고 Nejad는 말합니다. 대상 피해자가 맬웨어가 공격자의 이메일 주소를 추가할 수 있는 충분한 액세스 권한이 없는 경우 공격자는 피해자의 컴퓨터와 Facebook 계정에서 유출된 정보에 의존하여 피해자를 사칭합니다.
더 스마트한 맬웨어 구축
Nejad는 Ducktail의 정보 도용 프로그램의 이전 버전에는 비즈니스 계정 하이재킹에 사용할 하드코딩된 이메일 주소 목록이 포함되어 있다고 말했습니다.
그러나 최근 캠페인에서 공격자가 이 기능을 제거하고 명령 및 제어 채널(C2)에서 직접 이메일 주소를 가져오는 데 전적으로 의존하는 것을 관찰했습니다. 악성코드가 실행되면 C2에 대한 연결을 설정하고 계속 진행하기 위해 공격자가 제어하는 이메일 주소 목록을 수신하기 위해 일정 시간 동안 기다립니다.
보고서에는 Facebook 비즈니스 계정에 대한 액세스 권한이 있는 사용자를 대상으로 하는 스피어 피싱 사기에 대한 인식을 높이는 것부터 시작하여 조직이 Ducktail과 같은 공격 캠페인에 대한 노출을 완화하기 위해 취할 수 있는 몇 가지 단계가 나열되어 있습니다.
또한 조직은 알 수 없는 실행 파일이 실행되는 것을 방지하기 위해 애플리케이션 화이트리스트를 시행하고, 회사 Facebook 계정과 함께 사용되는 모든 관리 또는 개인 장치가 기본적인 위생 및 보호 기능을 갖추고 있는지 확인하고, 비공개 브라우징을 사용하여 Facebook 비즈니스 계정에 액세스할 때 각 작업 세션을 인증해야 합니다.
