사이버 범죄자들은 이메일을 성공적으로 사용하여 사기를 치고, 네트워크에 침투하며, 악성 페이로드를 퍼뜨리고 있다. 이메일 공격이 증가하면서 미국, 영국, 아일랜드, 일본이 주요 스팸 발신국으로 부상하고, 제조업, 정부, IT 분야가 가장 많은 피해를 입고 있으며, 피카봇(Pikabot)이 최다 멀웨어로 등장했다. 

사이버 보안 기업 바이퍼 시큐리티 그룹(VIPRE Security Group)이 전 세계적인 피싱 및 멀웨어 위협 현황 조사한 ‘최신 이메일 위협 동향 연구 보고서’를 발표했다.

주된 이메일 공격 대상은 “제조업·정부· IT”

보고서에 따르면 미국이 전 세계 스팸 이메일의 최대 발신국이며, 영국, 아일랜드, 일본이 그 뒤를 이었다. 미국, 영국, 캐나다는 이메일 기반 공격을 가장 많이 받는 상위 3개국이다.

공격자들이 가장 많이 겨냥하는 분야는 제조업이다. 2024년 1분기에 제조업 분야는 이메일 기반 공격의 43%를 차지하며, 정부(15%)와 IT(11%)가 그 뒤를 잇는다. 이는 2023년 1분기에 공격자들이 금융(25%), 의료(22%), 교육(15%) 분야를 가장 많이 겨냥했던 것과는 변화를 보인다.

보고서는 024년 1분기에 스팸 범주 내 '사기'가 사이버 범죄자들 사이에서 인기가 높아지고 있으며, 피싱 이메일을 앞지르고 있음을 경고한다.

회사 내 직원 복지, 보상 또는 보험과 관련된 것처럼 위장한 인사부 커뮤니케이션으로 가장한 피싱 이메일이 눈에 띄게 증가하고 있다. 이러한 이메일에는 ‘html’또는 ‘pdf’ 형식의 악성 첨부 파일이 포함되어 있으며, 수신자가 스캔하면 피싱 사이트로 리디렉션되는 피싱 QR 코드가 특징이다.

이메일 피싱 캠페인에서 이메일의 75%는 링크를 활용하고, 24%는 첨부 파일을 선호하며, 1%는 QR 코드를 사용한다. 공격자들은 URL 리디렉션(54%), 침해된 웹사이트(22%), 새로 생성된 도메인(15%)에 피싱 이메일의 링크를 사용한다.

사이버 범죄자들이 피싱 공격을 실행하기 위해 사용하는 새로운 전술에는 ‘.ics’ 캘린더 초대장과 ‘.rtf’ 첨부 파일 형식을 사용하여 수신자가 악성 콘텐츠를 열도록 속이는 것이 포함된다.

링크를 사용하는 패스워드 중심의 피싱 이메일의 성공률이 높자 사이버 범죄자들은 첨부 파일 대신 멀스팸 이메일에 악성 링크를 선택한다. 멀웨어는 구글 드라이브와 같은 클라우드 스토리지 플랫폼에 점점 더 많이 숨겨지고 있다. 첨부 파일을 사용하는 멀웨어 기반 이메일의 사용은 2023년 1분기의 3%에서 2024년 1분기에는 22%로 증가한다.

최대 멀웨어 공격은 ‘피카봇’

해체된 쿽봇(Qakbot) 멀웨어의 공백으로 인해 피카봇(Pikabot)이 최다 멀웨어 종류로 부상하고, IceID가 그 뒤를 잇는다.

범죄자들은 웹 애플리케이션 취약점, 특히 반사 크로스 사이트 스크립팅(XSS)을 악용하여 "href" 태그 속성에 초점을 맞추고 있으며, 이미지를 전체 이메일 콘텐츠로 사용하거나 URL 인코딩, 피해자를 여러 URL로 유도하는 등 다양한 전술을 사용하여 탐지를 우회한다.

또한 악의적 행위자들은 마이크로소프트 윈도우 운영체제에서 인증에 사용되는 보안 프로토콜인 NTLM(NT LAN Manager)의 스레드 하이재킹을 성공적으로 활용하고 있다. 인증 스레드를 하이재킹해 공격자는 합법적인 SMB(Server Message Block) 세션에서 NTLM 챌린지-응답 해시를 추출하여 인증된 사용자를 가장하고 무단 액세스를 얻을 수 있다.

우스만 초드하리(Usman Choudhary) 바이퍼 시큐리티 그룹 최고 제품기술  책임자는 “악의적 행위자들이 인간의 취약점과 소프트웨어 결함을 끊임없이 악용하여 이메일 게이트웨이와 보안 조치를 놀라울 정도의 정확성으로 우회하는 것을 목격하고 있다.”라며, “강력한 이메일 및 엔드포인트 방어와 함께 인간의 경계심을 최전선에 두는 것이 끈질긴 공격에 대한 가장 강력한 방어책이다.”고 조언했다.