AWS 기술 블로그

Amazon, 러시아 APT29의 워터링 홀 캠페인을 차단

이 글은 AWS Security Blog에 게시된 Amazon disrupts watering hole campaign by Russia’s APT29 를 한국어 번역 및 편집 하였습니다.

Amazon의 위협 인텔리전스 팀은 러시아 해외정보국(SVR)과 연관된 위협 행위자인 APT29(일명 미드나이트 블리자드)가 수행한 워터링 홀 캠페인을 식별하고 차단했습니다. 우리 조사에 따르면 이 기회주의적인 워터링 홀 캠페인은 침해된 웹사이트를 사용하여 방문자들을 악성 인프라로 리디렉션하고, Microsoft의 디바이스 코드 인증 플로우를 통해 사용자들이 공격자가 제어하는 디바이스를 승인하도록 속이는 방식으로 진행되었습니다. 이러한 기회주의적 접근 방식은 APT29가 정보 수집 노력을 확장하고 더 넓은 범위의 대상을 포착하기 위해 지속적으로 진화하고 있음을 보여줍니다.

APT29의 진화하는 전술

이번 캠페인은 우리가 이전에 APT29에서 관찰한 활동 패턴을 따릅니다. 2024년 10월, Amazon은 APT29가 AWS를 사칭하는 도메인을 사용하여 사용자들에게 공격자가 제어하는 리소스를 가리키는 원격 데스크톱 프로토콜 파일로 피싱하려는 시도를 차단했습니다. 또한 2025년 6월, Google의 위협 인텔리전스 그룹은 APT29가 애플리케이션별 비밀번호(ASP)를 사용하여 러시아에 비판적인 학계 인사들을 대상으로 한 피싱 캠페인에 대해 보고했습니다. 현재 캠페인은 자격 증명 수집과 정보 수집에 계속 집중하고 있으며, 기술적 접근 방식을 개선하고 다음과 같은 능력을 통해 APT29 수법의 진화를 보여줍니다:

  1. 정상적인 웹사이트를 침해하고 초기에 난독화된 JavaScript를 주입
  2. 방해에 직면했을 때 인프라를 신속하게 조정
  3. 새로운 인프라에서 JavaScript 리디렉션 사용에서 서버 측 리디렉션으로 전환

기술적 세부 사항

Amazon은 APT29 인프라에 대해 만든 분석을 통해 이 활동을 식별했으며, 이를 통해 공격자가 제어하는 도메인 이름을 발견하게 되었습니다. 추가 조사를 통해 Amazon은 공격자가 다양한 정상적인 웹사이트를 침해하고 방문자의 약 10%를 공격자가 제어하는 도메인으로 리디렉션하는 JavaScript를 주입했음을 확인했습니다. findcloudflare[.]com을 포함한 이러한 도메인들은 정상적으로 보이기 위해 Cloudflare 검증 페이지를 모방했습니다. 이 캠페인의 최종 목표는 Microsoft의 디바이스 코드 인증 플로우였습니다. AWS 시스템의 침해는 없었으며, AWS 서비스나 인프라에 직접적인 영향도 관찰되지 않았습니다.

코드 분석 결과 다음과 같은 회피 기술이 드러났습니다:

  • 무작위화를 사용하여 방문자의 작은 비율만 리디렉션
  • 악성 코드를 숨기기 위해 base64 인코딩 사용
  • 동일한 방문자의 반복적인 리디렉션을 방지하기 위한 쿠키 설정
  • 차단되었을 때 새로운 인프라로 전환

Image of compromised page, with domain name removed.

도메인 이름이 제거된 침해된 페이지 이미지.

Amazon의 차단 노력

Amazon은 정교한 위협 행위자를 적극적으로 추적하고 차단함으로써 인터넷 보안을 보호하기 위한 노력을 계속하고 있습니다. 우리는 업계 파트너 및 보안 커뮤니티와 계속 협력하여 인텔리전스를 공유하고 위협을 완화할 것입니다. 이 캠페인을 발견한 후, Amazon은 신속하게 영향을 받은 EC2 인스턴스를 격리하고, Cloudflare 및 다른 제공업체와 협력하여 공격자의 도메인을 차단하며, 관련 정보를 Microsoft와 공유했습니다.

공격자가 AWS에서 다른 클라우드 제공업체로 이동하는 것을 포함하여 새로운 인프라로 마이그레이션하려는 시도에도 불구하고, 우리 팀은 계속해서 그들의 작전을 추적하고 차단했습니다. 우리의 개입 이후, 공격자가 cloudflare[.]redirectpartners[.]com과 같은 추가 도메인을 등록하는 것을 관찰했는데, 이는 다시 피해자들을 Microsoft 디바이스 코드 인증 워크플로우로 유인하려는 시도였습니다.

사용자 및 조직 보호

다음과 같은 보호 조치를 구현할 것을 조직에 권장합니다:

최종 사용자를 위한 조치:

  1. 의심스러운 리디렉션 체인, 특히 보안 확인 페이지로 위장한 것들에 주의하세요.
  2. 기기 인증 요청을 승인하기 전에 항상 진위 여부를 확인하세요.
  3. AWS가 현재 루트 계정에 MFA를 요구하는 것처럼 모든 계정에 다중 인증(MFA)을 활성화하세요.
  4. 명령어를 복사하여 붙여넣거나 Windows 실행 대화 상자(Win+R)에서 작업을 수행하도록 요청하는 웹 페이지를 조심하세요.
  5. 이는 최근에 문서화된 “ClickFix” 기술과 일치하며, 공격자가 사용자를 속여 악성 명령을 실행하도록 유도합니다.

IT 관리자를 위한 조치:

  1. Microsoft의 디바이스 인증 흐름에 대한 보안 지침을 따르고, 필요하지 않은 경우 이 기능을 비활성화하는 것을 고려하세요.
  2. 디바이스 규정 준수, 위치 및 위험 요소에 기반한 인증을 제한하는 조건부 액세스 정책을 시행하세요.
  3. 인증 이벤트, 특히 새 디바이스 승인과 관련된 이벤트에 대한 강력한 로깅 및 모니터링을 구현하세요.

침해 지표(IOCs)

  • findcloudflare[.]com
  • cloudflare[.]redirectpartners[.]com

샘플 JavaScript 코드

Decoded JavaScript code, with compromised site removed: "[removed_domain]"

침해된 사이트가 제거된 디코딩된 JavaScript 코드: “[removed_domain]”

이 게시물에 대한 피드백이 있으시면 아래 댓글 섹션에 의견을 제출하세요. 이 게시물에 대한 질문이 있으시면 AWS 지원팀에 문의하세요.

Max Peterson

CJ Moses
CJ Moses는 Amazon의 최고 정보 보안 책임자(CISO)입니다. 그는 Amazon 전반에 걸친 보안 엔지니어링 및 운영을 이끌고 있습니다. 그의 임무는 보안의 이점을 최소 저항의 경로로 만들어 Amazon 비즈니스를 지원하는 것입니다. CJ는 2007년 12월 Amazon에 합류하여 소비자 CISO를 포함한 다양한 역할을 맡았으며, 2023년 9월 Amazon의 CISO가 되기 전에는 가장 최근에 AWS CISO로 활동했습니다.

Amazon에 합류하기 전, CJ는 연방수사국(FBI) 사이버 부서에서 컴퓨터 및 네트워크 침입 노력의 기술적 분석을 이끌었습니다. CJ는 또한 공군 특수수사국(AFOSI)에서 특수 요원으로 근무했습니다. CJ는 오늘날 보안 산업의 기초로 여겨지는 여러 컴퓨터 침입 조사를 이끌었습니다.

CJ는 컴퓨터 과학 및 형사 사법 학위를 보유하고 있으며, 활발한 SRO GT America GT2 레이싱 카 드라이버입니다.

Lyunsik Hyun

Lyunsik Hyun

현륜식 솔루션즈 아키텍트는 삼성전자에서의 글로벌 대규모 서비스 및 플랫폼 설계/구축/운영 경험을 바탕으로 AWS, Google에서 디지털 네이티브 고객 및 게임 고객을 대상으로 클라우드 서비스 설계 및 아키텍트 역할을 수행하였습니다. 현재는 삼성전자를 포함한 엔터프라이즈 비지니스 고객을 대상으로 안전하고 확장 가능하며 복원력/가용성이 높으면서 비용 효율적인 AWS 아키텍쳐 구축/운영에 도움을 드리고 있습니다.