Hugh_휴 님의 블로그

뉴스35. 구글 앱시트 피싱 공격을 통해 페이스북 계정 3만 개가 해킹당했습니다. 본문

뉴스 클리핑

뉴스35. 구글 앱시트 피싱 공격을 통해 페이스북 계정 3만 개가 해킹당했습니다.

Hugh_휴 2026. 5. 6. 19:33

기사 요약:

베트남의 AccountDumpling 조직이 구글 앱시트의 공식 발송 주소를 이용해 스팸 필터를 우회하는 정교한 피싱 캠페인을 전개하고 있다. 이들은 메타(Meta) 지원팀을 사칭하여 계정 삭제 위협을 가한 뒤, 가짜 랜딩 페이지로 유도해 약 3만 개의 계정 정보와 민감한 개인정보를 탈취했다.

  1. Guardio는 베트남 조직의 AccountDumpling 캠페인을 발견했으며, 현재까지 약 3만 개의 페이스북 계정이 탈취되어 불법 상점에서 판매된 것으로 파악되었습니다.
  2. 공격자는 구글 앱시트의 공식 이메일 주소(noreply@appsheet.com)를 사용하여 메타 지원팀 사칭 피싱 메일을 발송함으로써 보안 솔루션의 감시를 피한다.
  3. Netlify, Vercel, 구글 드라이브 등 클라우드 서비스를 활용해 고객센터나 보안 검사 페이지로 위장하고, 신분증 사진이나 2단계 인증 코드까지 수집하는 고도화된 수법을 사용한다.
  4. PDF 메타데이터 분석을 통해 베트남 마케팅 서비스 운영자인 "PHẠM TÀI TÂN"과의 연관성이 드러났으며, 이는 고도로 조직화된 범죄 활동임을 시사한다.
  5. 이번 사례는 신뢰받는 플랫폼들이 범죄 자산의 호스팅과 유통에 악용되고 있으며, 탈취된 계정 자체가 암시장의 주요 거래 상품이 되었음을 경고한다.

기사에서 가져옴(https://thehackernews.com/2026/05/30000-facebook-accounts-hacked-via.html)

 

[첫 번째 이미지: 앱시트를 이용한 피싱 메일 구조]

  • 핵심 포인트: "공식 플랫폼의 신뢰성을 악용한 침투"
  • 설명 내용: 이 이미지는 실제 공격에 사용된 피싱 메일 화면이다. 상단 빨간 박스를 보면 발신자가 noreply@appsheet.com으로 되어 있는데, 이는 구글의 공식 서비스 주소이다. 공격자는 앱시트의 기능을 이용해 발신자 이름만 'Meta Support'로 변조했다. 이를 통해 스팸 필터를 통과하고 사용자를 안심시킨다. 본문에는 '계정이 24시간 내에 삭제된다'는 문구로 심리적 압박을 가해 하단의 '이의 신청(Submit an Appeal)' 버튼을 클릭하도록 유도한다.

 

 

[두 번째 이미지: 데이터 탈취 경로의 진화]

  • 핵심 포인트: "추적을 피하기 위한 고도의 은폐 기술"
  • 설명 내용: 탈취한 정보를 공격자에게 전달하는 방식의 변화를 보여준다.
    • V1(과거): 사용자의 브라우저에서 직접 텔레그램 API로 정보를 보냈습니다. 이 방식은 소스 코드를 분석하면 텔레그램 봇 주소가 노출되어 추적당하기 쉽다.
    • V2(현재): 'Netlify'라는 클라우드 서비스의 서버리스 함수를 중간 다리로 사용한다. 사용자 정보는 먼저 Netlify 서버로 전송된 후, 서버 내부에서 공격자의 텔레그램으로 전달된다. 이로 인해 외부에서는 최종 목적지인 텔레그램 봇의 정보를 알 수 없게 되어 보안 연구원들의 추적을 차단한다.

개인 의견:

많은 사람들이 사용하는 공식 메일 주소로 연락이 온다면 보안에 익숙하지 않은 사람들은 의심 없이 믿을 수밖에 없겠다는 생각이 들었다. 단순히 아이디, 비밀번호가 아니라, 신분증 사진이나 실시간 인증코드까지 요구한다는 점에서 최대한 긁어갈 수 있는 정보를 탈취하려는 공격자들의 의지가 느껴졌다.

 

<용어 정리>

피싱(Phishing): 타당한 발신인으로 위장하여 이메일이나 메시지를 보냄으로써 개인정보나 금융 정보를 가로채는 공격 수법이다.

구글 앱시트(Google AppSheet): 코딩 없이 비즈니스용 애플리케이션을 만들 수 있도록 지원하는 구글의 노코드(No-code) 플랫폼이다.

Netlify(넷리파이): 웹사이트를 아주 쉽고 빠르게 인터넷에 올릴 수 있게 해주는 클라우드 플랫폼이다.

html2canvas:

  • 원래 용도: - 웹페이지의 특정 부분을 캡처하여 이미지 파일로 만들어주는 도구이다.
  • 공격 시 이용 - 공격자는 사용자가 가짜 페이지에 접속해 있는 동안, 사용자의 브라우저 화면 전체나 특정 설정 화면을 몰래 캡처한다.

랜딩 페이지(Landing Page): 사용자가 링크를 클릭했을 때 처음 도착하게 되는 웹페이지입니다. 이 사건에서는 정보를 빼내기 위한 가짜 페이지를 의미한다.

2단계 인증(2FA): 비밀번호 외에 추가적인 인증 수단(SMS 코드, OTP 등)을 요구하여 보안을 강화하는 절차이다.

클러스터: 비슷한 특징을 가진 공격 요소들을 하나로 묶은 공격 그룹 또는 단위

공격자가 누구인지 바로 알 수 없을 때, 분석가들은 다음과 같은 공통점을 기준으로 공격 인프라를 분류한다.

- 공격 수법 (TTPs): 가짜 PDF를 만들거나 구글 드라이브를 활용하는 방식이 동일함.

- 악성 코드 유사성: 사용된 html2canvas 스크립트의 구조나 변수명이 비슷함.

- 인프라 공유: 동일한 C2 서버(명령 제어 서버)를 사용하거나, 특정 도메인 등록 정보를 공유함.

서버리스 함수(Serverless Function): 개발자가 서버를 직접 관리할 필요 없이, 특정 이벤트가 발생했을 때만 실행되는 코드 조각이다. 기사에서는 텔레그램 봇의 정보를 숨기기 위해 Netlify의 이 기능을 사용했다.

메타데이터(Metadata): 데이터에 관한 데이터로, 파일의 작성자, 생성 날짜, 수정한 소프트웨어 등의 정보를 포함한다.

'뉴스 클리핑' 카테고리의 다른 글

뉴스36. 클로드 AI 등 생성형 AI 도구, 멕시코 상수도 제어시스템 공격에 활용...OT 보안위협 ↑  (1) 2026.05.11
뉴스34. DAEMON Tools 공급망 공격으로 공식 설치 프로그램이 악성코드에 감염되었습니다.  (1) 2026.05.07
뉴스33. 아마존의 간편 이메일 서비스 악용하는 피싱 이메일 급증  (2) 2026.05.05
뉴스32. 안전한 데이터 이동이 제로 트러스트에서 아무도 언급하지 않는 병목 현상인 이유는 무엇일까요?  (0) 2026.04.30
뉴스31. 취약점 진단 도구 ‘Nessus’의 역습... 윈도우 에이전트에서 보안 결함 노출  (2) 2026.04.29
'뉴스 클리핑' Related Articles more