중국 사이버 공격자들이 Gmail, Firefox 데이터를 피싱 메일로 도용한 다음 Firefox add-on 을 통해 추가 악성 행위를 수행하는 정황이 포착됐다. 공격 대상은 Firefox 브라우저 사용자들과 티베트인들 위주로 감행됐다.  보안 회사인 Proofpoint가 발견한 이번 공격은 TA413코드명을 가진 그룹과 연계됐다고 밝혔다.

 

[그림1. 공격 흐름도]

 

피싱 메일에는 웹사이트의 콘텐츠를 열람하고 싶으면 Flash Adobe Updater를 설치해야 한다고 작성되어 있다. 특히 Gmail 와 Firefox를 동시에 사용하는 사용자들에게만 메일을 보냈다. 설치를 진행하면 내부에 악성코드가 포함되어 있는 Gmail notifier라는 Add-on이 추가되며 다음 악성 행위를 수행할 수 있게 된다.

 

- 이메일 검색

 

- 메일 보관

 

- Gmail 알림 받기

 

- 이메일 읽기

 

- 도난한 Gmail 계정에서 메일 보내기

 

- Gmail 알림받기

 

- 메시지 삭제

 

이 외에도 악성 add-on 은 ScanBox Malware를 설치한다. 해당 도구는 PHP 및 Javascript 기반 악성 코드며 중국의 여러 그룹에서 사용하는 Framework다. Proofpoint의 보고서에 따르면 "ScanBox는 2014년부터 티베트 디아스포라와 연계된 다른 소수민족들을 대상으로 한 공격 캠페인에 사용되고 있다."고 밝혔다.

 

ScanBox Malware에 감염되면 특정 웹사이트 기록, 키로거, PC의 데이터를 수집할 수 있다.  

 

[그림2. ScanBox 코드 일부]

 

 

 

Proofpoint가 FriarFox라고 붙힌 이번 공격 캠페인은 2021년 1월부터 지금까지 계속 진행되고 있다. 추가로 연구원들은 "이번 캠페인 말고도 지원이 끝난 Adobe Flash를 사칭해 악성코드를 유포하는 경우가 많아진 것 같다."며 주의를 요구했다.

 

출처

 

https://www.proofpoint.com/us/blog/threat-insight/ta413-leverages-new-friarfox-browser-extension-target-gmail-accounts-global

 

https://www.zdnet.com/article/chinese-cyberspies-targeted-tibetans-with-a-malicious-firefox-add-on/