결제 카드 전자 스키밍을 위해 Google 태그 관리자를 계속 악용하는 위협 행위자

편집자 주: 보고서를 PDF로 다운로드하려면 여기를 클릭하세요.

레코디드 퓨처® 결제 사기 인텔리전스 모듈의 이 보고서는 Google 태그 관리자(GTM) 악용에 대한 이전 보고서를 기반으로 작성되었으며, 위협 행위자가 GTM 컨테이너를 악용하여 Magecart 전자 스키머 공격을 수행하는 방법에 대한 업데이트된 개요를 제공합니다. 대상은 금융 기관, 카드 네트워크, 판매자 서비스 회사의 법 집행 기관과 사기 및 사이버 위협 인텔리전스(CTI) 팀입니다.

Executive Summary

전자상거래 도메인에서는 인터넷 마케팅, 웹사이트 사용 지표, 고객 추적 등을 위해 Google 태그 관리자(GTM) 컨테이너를 자주 사용합니다. 지난 2년간 레코디드 퓨처는 전자 스키머 또는 전자 스키머 설치를 위한 다운로더로 작동하는 GTM 컨테이너에 숨겨진 악성 스크립트의 3가지 주요 변종을 발견했습니다. e-스키머는 감염된 이커머스 웹사이트에서 쇼핑하는 고객의 결제 카드 데이터와 개인 식별 정보(PII)를 수집한 후, 탈취한 데이터를 위협 행위자의 통제 하에 있는 악성 도메인으로 유출하는 데 사용됩니다.

GTM과 같은 합법적인 웹 서비스를 전자 스키머 공격 체인에 남용하고 통합하면 위협 행위자에게 두 가지 큰 이점이 있습니다:

• 위협 행위자는 피해 이커머스 도메인의 감염된 GTM 컨테이너에 액세스하면 피해 이커머스 웹사이트의 시스템에 액세스하지 않고도 스크립트를 업데이트하거나 관련 악성 도메인을 교체하기 위해 GTM 컨테이너의 콘텐츠를 수정할 수 있습니다. 이렇게 하면 웹사이트 로그에서 탐지 및 의심스러운 활동을 줄이는 데 도움이 됩니다.
• 전자상거래 웹사이트 관리자는 리소스를 절약하기 위해 '신뢰할 수 있는' 소스 도메인(예: 합법적인 Google 서비스)을 화이트리스트에 추가할 수 있습니다. 결과적으로 보안 소프트웨어가 GTM 컨테이너의 콘텐츠를 스캔하지 않도록 구성하여 감염된 GTM 컨테이너의 탐지 및 치료를 억제하고 지속성을 강화할 수 있습니다.

이 글을 쓰는 현재, 3가지 GTM 기반 전자 스키머 변종은 모두 이커머스 도메인을 감염시키고 고객의 결제 카드 데이터를 유출하는 데 사용되고 있습니다. 이러한 GTM 기반 전자 스키머 변종의 사용은 늦어도 2021년 3월부터 시작되었으며, 그 이후 매달 새롭게 감염된 이커머스 도메인이 관찰되고 있습니다. 또한, 이전 변종(변종 1)과 새로운 변종(변종 3) 간의 유사성을 고려할 때 위협 행위자가 탐지 및 치료를 더욱 억제하기 위해 스크립트를 적극적으로 업데이트하고 있을 가능성이 높습니다.

주요 판단

• 569개의 이커머스 도메인이 e-스키머에 감염된 것을 확인했는데, 314개는 GTM 기반 e-스키머 변종에 감염된 것으로 확인되었고 나머지 255개는 탈취한 데이터를 GTM 악용과 관련된 악성 도메인으로 유출한 감염 사례였습니다.
• 314개의 이커머스 도메인은 3개의 GTM 기반 전자 스키머 변종 중 1개에 감염된 것으로 확인되었습니다. 이러한 이커머스 도메인 중 87개는 2022년 8월 25일 현재 감염된 상태입니다. 이후 치료가 완료된 감염의 평균 감염 기간은 3.5개월이었습니다.
• 3가지 GTM 기반 e-스키머 변종은 각각 고유한 악성 도메인 세트를 사용하여 탈취된 데이터를 수신합니다. 확인된 314건의 GTM 기반 e-스키머 공격 외에도 255개의 이커머스 도메인이 e-스키머에 감염되어 훔친 데이터를 GTM 악용과 관련된 도메인으로 유출했지만, 이후 복구된 e-스키머 감염이 GTM 컨테이너를 통해 전달되었는지 아니면 다른 방법을 통해 전달되었는지 확인할 수 있는 과거 포렌식 데이터는 충분하지 않습니다.
• 이 글을 쓰는 현재, 다크웹 카딩 스토어에 GTM 컨테이너 어뷰징 공격의 피해자로 추정되는 165,000개 이상의 결제 카드 기록이 게시되어 있습니다. GTM 기반 전자 스키머를 통해 유출된 결제 카드의 총 수는 이보다 더 많을 것으로 보입니다.

배경

GTM은 웹 개발자가 컨테이너를 사용하여 웹사이트에 자바스크립트 및 기타 리소스를 삽입할 수 있도록 지원하는 Google의 합법적인 서비스입니다. 이 서비스는 일반적으로 인터넷 마케팅, 웹사이트 사용 지표 및 고객 추적에 사용됩니다. Magecart 공격자들은 HTML 요소나 JavaScript를 GTM 컨테이너에 삽입할 수 있는 기능을 통해 이 합법적인 Google 서비스를 악용하고 있으며, 이러한 항목은 나중에 GTM 로더를 통해 실행 시간에 피해 웹사이트에 주입됩니다. 대부분의 최신 사례에서는 위협 행위자가 직접 GTM 컨테이너를 생성한 다음 이커머스 웹사이트 관리자가 생성한 기존 GTM 컨테이너에 악성 코드를 주입하는 것과는 반대로 이커머스 도메인에 이를 로드하는 데 필요한 GTM 로더 스크립트 구성을 주입합니다(이커머스 웹사이트 관리자가 악성 코드를 주입하는 것과는 반대).

더 넓게 보면, 이 보고서에서 자세히 설명한 능동적인 GTM 기반 전자 스키머 공격 방법은 위협 행위자가 GTM을 악용하는 사례가 처음 관찰된 것은 아닙니다. 2016년에 Google 태그 관리자는 남용을 방지하기 위해 GTM 컨테이너에 대한 자동 멀웨어 탐지 기능을 출시했지만, 이후 2년 동안 멀웨어가 지속적으로 증가했습니다:

• 더 레지스터는 위협 행위자들이 크립토재킹을 위해 GTM 컨테이너를 악용했다고 보도했습니다.
• 사이버 보안 회사인 Sucuri는 피해 웹사이트에 '악성' 광고를 게재하고 (종종 악성) 도메인으로 웹 트래픽을 유도하기 위해 GTM 컨테이너가 악용되고 있다고 보고했습니다.

결국 2018년 말, 최상위 다크웹 포럼에서 한 위협 공격자가 GTM 컨테이너를 악용하여 "악성 코드를 삽입"하는 방법을 공개적으로 설명하면서 가능한 악성 활동의 유형을 명시하지 않은 채 GTM 컨테이너 악용에 관한 토론이 등장했습니다.

그림 1: 2018년, 최상위 다크웹 포럼에서 한 위협 행위자가 악의적인 목적으로 GTM 컨테이너를 악용하는 방법을 설명했습니다(출처: 레코디드 퓨처).

위협 분석

탈취한 결제 카드 및 카드 소지자 데이터를 GTM 기반 전자 스키머 공격과 관련된 악성 도메인으로 유출하는 Magecart 전자 스키머에 감염된 569개의 이커머스 도메인을 확인했습니다. 이 보고서를 기준으로 이커머스 도메인 중 87개는 감염된 상태이며, 87개 모두 GTM 기반 전자 스키머에 감염된 것으로 확인되었습니다.

더 이상 감염되지 않은 482개의 이커머스 도메인 중 227개 도메인에서 GTM 기반 전자 스키머의 사용을 확인했습니다. 그러나 나머지 255개 이커머스 도메인의 감염이 GTM 기반 전자 스키머를 사용했는지 아니면 다른 전자 스키머 유형을 사용했는지 결정적으로 확인할 수 있는 과거 포렌식 증거가 충분하지 않았습니다. 이러한 이커머스 도메인의 감염으로 인해 탈취된 데이터가 악성 도메인으로 유출되었고, 이 악성 도메인 역시 GTM 기반 공격에서 탈취된 데이터를 받은 것으로 확인되었으므로 255개 도메인 중 상당수가 GTM 기반 e-스키머에 감염되었을 가능성이 높습니다.

확인된 GTM 기반 공격 중 3가지의 GTM 기반 e-스키머 변종(이하 "변종 1", "변종 2", "변종 3")을 식별하고 각 변종에 대한 유출 도메인 클러스터를 확인했습니다. 3가지 변종 모두 별도의 전자 스키머 스크립트와 유출 도메인을 사용합니다. 3가지 변종 모두 현재 활성 감염에 사용되고 있으며, 2022년 8월에 새로운 이커머스 도메인을 감염시키는 데 배포되어 이커머스 웹사이트와 해당 고객, 더 나아가 금융 기관과 카드 네트워크에 적극적인 위험을 초래하고 있음을 나타냅니다.

확인된 GTM 기반 공격의 피해자 유형 분석

이 보고서를 기준으로 다크웹 카딩 스토어에 게시된 165,000개 이상의 결제 카드 기록이 GTM 기반 공격에 감염된 것으로 확인된 전자상거래 도메인의 것으로 밝혀졌습니다. 감염된 이커머스 도메인의 규모, 감염 기간, 월 평균 누적 방문자 수를 고려할 때 GTM 기반 공격을 통해 유출된 결제 카드 기록의 총 수는 이보다 더 많을 것으로 보입니다.

아래 차트에서 볼 수 있듯이 변형 1과 변형 2는 각각 2021년 3월과 6월에 사용되기 시작했습니다. 변형 3은 가장 최근의 것으로 2022년 7월부터 사용되기 시작했습니다. 3가지 변종 모두에서 GTM 기반 전자 스키머는 감염된 이커머스 도메인에서 평균 3.5개월 동안 지속되다가 치료 또는 제거되었습니다.

그림 2: 감염이 시작된 월과 변종 유형에 따라 GTM 기반 전자 스키머에 감염된 것으로 확인된 이커머스 도메인 수(출처: Recorded Future)

3가지 변종에 걸쳐 완전히 확인된 GTM 기반 e-스키머 공격에만 초점을 맞춘 위협 행위자들은 '고가치' 이커머스 도메인만을 공격 대상으로 삼지 않았으며, 월 방문자 수가 100만 명에 육박하는 이커머스 도메인부터 1만 명 미만의 도메인에 이르기까지 다양한 이커머스 도메인을 공격했습니다. 아래 표에는 월 평균 방문자 수 기준으로 현재 감염된 상위 5개 이커머스 도메인이 포함되어 있습니다( 이전 보고서에서 이미 확인된 도메인은 제외).

표 1: 월 평균 방문자 수에 따라 GTM 기반 e-스키머에 감염된 상위 5개 이커머스 도메인 순위(출처: Recorded Future 및 SimilarWeb)

표적이 된 이커머스 도메인의 지리적 분포를 보면, GTM 기반 e-스키머 공격을 수행하는 위협 행위자들은 주로 미국에 본사를 둔 기업의 이커머스 도메인을 표적으로 삼았으며, 이는 미국 기반 카드 소지자를 표적으로 삼으려는 의도가 있었을 가능성이 높습니다.

그림 3: 감염된 이커머스 도메인의 본사 소재지를 기준으로 상위 10개 피해 국가(출처: 레코디드 퓨처)

GTM 기반 전자 스키머 변형: 설계 및 영향

3가지 변종 간의 핵심적인 유사점은 모두 전자 스키머 공격 체인에 GTM 컨테이너를 통합한다는 점입니다. 설계상 GTM 시스템은 자체 JavaScript를 사용하여 GTM 컨테이너를 로드하고 그 콘텐츠를 링크된 웹사이트에 적용합니다. 위협 행위자는 이 기능을 악용하여 컨테이너 내에 악성 코드를 삽입하고, 이 악성 코드가 합법적인 GTM 로더에 의해 피해 웹사이트에 로드된다는 것을 알고 있습니다.

GTM 컨테이너 내에서 관심 변수는 "vtp_html"(그림 4)이며, 이는 GTM 로더가 읽고 피해자 페이지에 삽입되는 문자열에 해당합니다. Magecart 액터는 스크립트 태그와 해당 JavaScript를 "vtp_html" 변수 내에 배치하여 웹 브라우저에서 로드 및 실행되도록 합니다.

3가지 변종 간의 주요 차이점은 (도난당한 결제 카드 및 카드 소지자 데이터를 별도의 악성 도메인으로 유출한다는 사실 외에는) GTM 컨테이너를 통해 최종 전자 스키머 스크립트 페이로드를 전달하는 방식에 있습니다:

• 변종 1은 난독화되지 않은 전자 스키머 JavaScript를 GTM 컨테이너에 직접 삽입하며, 각 감염에 대해 고유한 GTM 컨테이너를 사용합니다.
• 변형 2는 로더 스크립트를 GTM 컨테이너에 삽입하고, 로더 스크립트는 별도의 이중 용도 도메인(전자 스키머 스크립트를 호스팅하고 유출된 결제 카드 데이터를 수신하는 데 사용되는 도메인)에서 실제 전자 스키머 스크립트를 가져옵니다. 변종 2는 여러 감염에 걸쳐 여러 GTM 컨테이너를 재사용합니다.
• 변종 3은 변종 1과 마찬가지로 전자 스키머 자바스크립트를 GTM 컨테이너에 직접 삽입하고 각 감염에 대해 고유한 GTM 컨테이너를 사용합니다. 변형 1과 3의 주요 차이점은 변형 3이 사용자 지정 난독화를 사용한다는 점입니다.

궁극적으로 단일 위협 그룹이 3가지 변종 모두를 책임질 가능성은 낮지만, 단일 위협 그룹 또는 중복되는 위협 행위자가 변종 1과 변종 3을 책임질 가능성이 높습니다. 변종 1은 주로 2021년에 배포된 반면, 변종 3은 2022년 여름에 등장했습니다. 이 시나리오에서 변형 3은 탐지 가능성을 줄이기 위해 사용자 지정 난독화에 의존하는 변형 1의 고급 버전입니다.

다음 하위 섹션에서는 각 변종의 전자 스키머 설계 및 감염 지표에 대한 개요를 제공합니다. 2021년 12월에 발행된 GTM 기반 전자 스키머에 대한 이전 보고서에는 변형 1과 2의 기술 설계에 관한 확장된 정보가 포함되어 있습니다.

변형 1: 처음 식별되고 난독화되지 않음

변종 1은 전자 스키머 스크립트로 "vtp_html"을 로드하고, 컨테이너 링크를 피해자 웹사이트에 삽입하며, 각 피해자에 대해 고유한 컨테이너를 사용합니다. 변형 1은 난독화를 사용하지 않습니다.

그림 4: 트로이 목마에 감염된 GTM 컨테이너의 예: vtp_html 요소 내에 악성 변종 1 스크립트가 표시됨(출처: imovr[.]com)

변종 1은 187개의 이커머스 도메인에 사용된 컨테이너에서 관찰되었으며, 첫 번째 피해자는 2021년 3월에 감염되었습니다. 이 글을 쓰는 현재 52개의 도메인이 변종 1에 감염되어 있습니다. 추가로 61개의 이커머스 도메인이 이 변종과 관련된 8개의 악성 도메인 중 하나로 탈취한 데이터를 유출한 이후 치료된 e-스키머에 감염되었지만, 이 61개의 감염에 대한 기록 데이터가 충분하지 않아서 구체적으로 GTM 기반 e-스키머인지 확인할 수 없습니다.

표 2: 변종 1 e-스키머는 탈취한 데이터를 이러한 악성 도메인 중 1개로 유출하도록 설계되어 GTM 기반 공격과 이러한 도메인 간의 연관성을 확립합니다(출처: 레코디드 퓨처).

변형 2: 이중 사용 도메인을 위한 로더로 GTM 컨테이너 사용

변종 2는 실제 e-스키머 스크립트를 호스팅하는 외부 e-스키머 URL로 연결되는 링크를 삽입하는 스크립트가 포함된 "vtp_html"을 로드하여 GTM 컨테이너를 트로이 목마화한 다음 e-스키머를 피해 웹사이트에 로드하는 방식으로 트로이 목마를 감염시킵니다. 변종 1과 3과 달리 변종 2의 배후에 있는 위협 행위자는 여러 감염된 이커머스 도메인에서 GTM 컨테이너를 재사용했습니다. GTM 컨테이너의 수명 기간 동안 2개의 컨테이너가 여러 개의 전자 스키머 URL에 연결되었습니다.

표 3: 사용된 e-스키머 URL 수, 총 피해자 수, 활성 피해자 수, 컨테이너 활동 기간을 보여주는 변종 2 GTM 컨테이너 식별자 목록(출처: 레코디드 퓨처)

위협 행위자들은 이러한 트로이 목마에 감염된 컨테이너의 링크를 118개의 전자상거래 웹사이트에 삽입했으며, 첫 번째 피해자는 2021년 6월에 감염되었습니다. 이 글을 쓰는 현재 이커머스 웹사이트 중 22개가 감염된 상태입니다(표 3의 '활성 피해자' 열의 총 개수는 현재 2개의 GTM 컨테이너에 감염된 웹사이트로 인해 23개입니다). 캠페인 기간 동안 8명의 피해자가 3개의 컨테이너에 감염되었고 24명의 피해자가 2개의 컨테이너에 감염되었습니다. 추가로 195개의 이커머스 도메인이 변종 2와 관련된 17개의 악성 도메인 중 1개로 훔친 데이터를 유출한 이후 수정된 e-스키머에 감염되었지만 이 195개의 감염이 구체적으로 GTM 기반 e-스키머인지 확인하기에는 기록 데이터가 충분하지 않습니다.

표 4: 변종 2 e-스키머는 탈취한 데이터를 이러한 악성 도메인 중 1개로 유출하도록 설계되어 GTM 기반 공격과 이러한 도메인 간의 연관성을 확립합니다(출처: 레코디드 퓨처).

변형 3: 변형 1과 매우 유사하지만 난독화됨

2022년 7월에는 변종 3이 발견되었는데, 변종 1과 유사하다는 점이 특징입니다:

• GTM 컨테이너에 직접 전자 스키머 스크립트를 삽입합니다.
• 각 감염에 대해 고유한 GTM 컨테이너를 사용합니다.
• 난독화되어 있긴 하지만 유사한 전자 스키머 스크립트 구조를 사용합니다.

변형 1과 변형 3의 주요 차이점은 변형 1은 난독화되지 않은 반면, 변형 3은 사용자 지정 난독화 기능을 제공한다는 점입니다. 또한, 변종 1과 3은 각각 탈취한 데이터를 별도의 악성 도메인 집합으로 유출하지만, 두 변종 모두 사용자를 속여 합법적인 Google 도메인으로 착각하게 하는 악성 '유사' 도메인을 사용합니다.

변종 2의 배후에 있는 위협 행위자가 변종 1 또는 3을 담당할 가능성은 낮지만, 동일한 위협 그룹 또는 중복되는 위협 행위자가 변종 1과 변종 3을 담당할 가능성이 높습니다.

그림 5: GTM 로더에 의해 검색 및 주입된 후 스크립트를 보여주는 변형 3의 스크린샷(출처: hvacdirect[.]com)

변종 3은 GTM 로더를 통해 피해 웹페이지에 e-스키머 스크립트(그림 6)를 주입하며, 런타임에 난독화됩니다. 변형 3은 XOR 암호 알고리즘(그림 6, 13~16줄)과 임베디드 키(그림 6, 36줄, 8~11줄에 함수로 디코딩됨)를 사용하여 스크립트 내의 키 문자열을 해독합니다. 각 GTM 컨테이너는 자체 암호화 키를 사용하므로 침해의 지표로 사용되는 것을 방지합니다. 암호화는 또한 유출 URL을 마스킹합니다(그림 6, 39줄). 이러한 기술은 HTML 요소를 생성하거나 네트워크 연결을 설정하는 키워드, 알려진 악성 문자열 등 특정 JavaScript 키워드에 집중하는 분석가 및 정적 코드 스캐너로부터 전자 스키머를 숨기는 데 도움이 됩니다.

그림 6: 디코딩 및 복호화 루틴과 암호화 키 및 유출 URL을 보여주는 구문 형식의 전자 스키머 스크립트 스크린샷(출처: Recorded Future)

변종 3은 13개의 이커머스 웹사이트를 감염시키는 데 사용되었으며, 이 글을 쓰는 현재 모두 감염된 상태입니다. 이 변종의 피해자 13명 중 9명은 2022년 7월에, 나머지는 2022년 8월에 감염되었습니다. 아래 표에는 변종 3과 관련된 4개의 악성 유출 도메인이 포함되어 있습니다.

표 5: 변종 3 e-스키머는 탈취한 데이터를 이러한 악성 도메인 중 1개로 유출하도록 설계되어 GTM 기반 공격과 이러한 도메인 간의 연관성을 확립합니다(출처: 레코디드 퓨처).

완화 조치

• 전자상거래 웹사이트 관리자는 웹페이지 내에서 사용되는 파일에 대한 전체 검사를 수행하여 알려진 좋은 기준선을 설정해야 합니다. 무단 변경 여부를 확인하기 위해 주기적으로 스캔을 수행해야 하며, 파일 콘텐츠 차이 검사를 통해 이를 평가해야 합니다. 버전 관리 소프트웨어를 사용하면 이 작업을 수행할 수 있습니다.
• 전자상거래 웹사이트 관리자는 브라우저에서 웹사이트를 로드하면서 네트워크 트래픽을 관찰하고 더 자세한 검토가 필요한 예기치 않은 연결에 집중해야 합니다.
• 전자 스키머 스크립트는 개발자 콘솔의 존재를 감지하면 점점 더 스스로를 비활성화하기 때문에 전자상거래 웹사이트 관리자는 원격 디버깅 프로세스를 통해 웹사이트에 대한 동적 분석을 수행해야 합니다.

전망

GTM 컨테이너 남용의 경우와 마찬가지로, 위협 공격자들은 '자체 등록된' 명령 및 제어(C2) 서버보다 뛰어난 복원력, 익명성, 탐지 회피 기능을 제공하기 때문에 공개적으로 사용 가능한 웹사이트와 기술을 지속적으로 악용하여 공격 인프라에 통합하고 있습니다. 보안 도구가 '신뢰할 수 있는' 소스 도메인에서 호스팅되는 파일을 화이트리스트에 추가하여 리소스를 절약하도록 구성될 수 있으므로, 이커머스 웹사이트의 경우 이러한 최적화가 자칫하면 웹사이트가 악용되거나 악성 파일에 지속적으로 감염될 수 있는 위험에 노출될 수 있습니다.

또한 위협 공격자는 GTM 컨테이너를 악용하여 피해자 서버에 접속할 필요 없이 Magecart 캠페인 인프라와 소프트웨어를 업데이트할 수 있습니다. 악의적인 공격자들은 어트리뷰션을 억제하면서 감염을 유지하기 위해 이러한 공개적으로 사용 가능하며 종종 무료로 제공되는 서비스를 계속 활용할 가능성이 높습니다.

이 보고서에 사용된 출처에는 Recorded Future의 Magecart Overwatch 프로그램, 감염된 이커머스 웹사이트의 수동 분석, 다크웹 카딩 상점 등이 있습니다.

편집자 주: 보고서를 PDF로 다운로드하려면 여기를 클릭하세요.