답변게시됨20 소스
Cloudflare가 사이버 첩보 활동의 ‘은신 플랫폼’이 되는 이유
말레이시아 조직을 노린 사이버 첩보 캠페인에서 공격자들은 Cloudflare 저장소를 이용해 탈취 데이터를 외부로 빼내며 정상적인 HTTPS 트래픽처럼 위장했다. 연구진은 맞춤형 Python 도구, 말레이시아 Azure 인프라, 그리고 Cloudflare 스토리지로 데이터를 업로드하는 스크립트를 확인했다.
1.5M0
AI 프롬프트
openai.comCreate a landscape editorial hero image for this Studio Global article: What does the reported cyber espionage campaign against Malaysian organizations reveal about how state-backed threat actors are abusing Clou. Article summary: The Malaysia case shows a broader pattern: state-backed or state-aligned operators are hiding espionage infrastructure inside trusted cloud platforms, using Cloudflare not just as a CDN shield but as storage, app-hosting. Topic tags: general, general web. Reference image context from search candidates: Reference image 1: visual subject "# Malaysia’s digital growth and geopolitics widen cyber attack surface, raising critical infrastructure risks. New data from Cyfirma threat landscape report disclosed that Malaysia" source context "Malaysia's digital growth and geopolitics widen cyber attack surface ..." Reference image 2: visual subject "##### The Latest. A cam
사이버 첩보 공격은 점점 더 합법적인 클라우드 인프라 내부로 숨어드는 방식으로 진화하고 있다. 최근 말레이시아 조직을 겨냥한 침투 캠페인은 공격자들이 Cloudflare 같은 신뢰받는 서비스를 활용해 악성 인프라를 숨기는 방법을 잘 보여준다.
과거에는 공격자가 수상한 도메인이나 별도의 서버를 운영하는 경우가 많았지만, 이제는 정상적인 클라우드 플랫폼과 HTTPS 트래픽을 그대로 활용한다. 이런 방식은 보안 장비가 단순히 도메인 평판이나 차단 목록에 의존할 경우 탐지가 어려워진다.
말레이시아 침투 사례: 맞춤형 공격 도구와 클라우드 인프라
보안 연구진은 여러 말레이시아 조직을 겨냥한 공격에서 말레이시아 서부 지역(Malaysia West)의 Microsoft Azure 인프라를 이용한 공격자 서버를 발견했다. 공격자는 각 목표 조직에 맞춘 전용 Python 도구를 만들어 내부 네트워크 탐색, 데이터베이스 접근, 외부 데이터 유출 작업을 수행했다.
특히 주목할 점은 탈취한 데이터를 Cloudflare 스토리지로 업로드하는 스크립트였다. 이 방식은 데이터 유출 트래픽이 정상적인 Cloudflare HTTPS 통신처럼 보이게 만들어 탐지를 어렵게 만든다.
공격 흐름은 대략 다음과 같은 단계로 이루어졌다.
- 내부 네트워크 정찰 및 데이터베이스 접근
- WinRM을 이용한 원격 활동
- 탈취 파일을 압축해 외부 전송 준비
- Windows 시스템의 자격 증명 덤프 흔적
- HTTPS 기반 외부 명령 실행
마지막 단계에서 클라우드 서비스를 통한 데이터 유출을 사용하면, 보안 장비가 알 수 없는 도메인을 차단하는 방식으로는 공격을 막기 어렵다.
공격자들이 Cloudflare 서비스를 선호하는 이유
Cloudflare는 CDN뿐 아니라 객체 저장소, 서버리스 컴퓨팅, 웹 호스팅, 터널링 등 다양한 기능을 제공하는 글로벌 플랫폼이다. 이 기능들은 개발자에게 편리하지만, 동시에 공격자에게도 은밀한 인프라를 구축할 기회가 된다.
보안 보고서에 따르면 Cloudflare의 여러 서비스가 악성 캠페인에서 반복적으로 발견되고 있다. 이유는 간단하다. 트래픽이 정상적인 클라우드 서비스처럼 보이기 때문이다.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
사람들은 또한 묻습니다.
"Cloudflare가 사이버 첩보 활동의 ‘은신 플랫폼’이 되는 이유"에 대한 짧은 대답은 무엇입니까?
말레이시아 조직을 노린 사이버 첩보 캠페인에서 공격자들은 Cloudflare 저장소를 이용해 탈취 데이터를 외부로 빼내며 정상적인 HTTPS 트래픽처럼 위장했다.
먼저 검증할 핵심 포인트는 무엇인가요?
말레이시아 조직을 노린 사이버 첩보 캠페인에서 공격자들은 Cloudflare 저장소를 이용해 탈취 데이터를 외부로 빼내며 정상적인 HTTPS 트래픽처럼 위장했다. 연구진은 맞춤형 Python 도구, 말레이시아 Azure 인프라, 그리고 Cloudflare 스토리지로 데이터를 업로드하는 스크립트를 확인했다.
실무에서는 다음으로 무엇을 해야 합니까?
Cloudflare R2, Pages, Workers, Tunnel 같은 서비스는 피싱 사이트, 명령제어(C2), 악성코드 배포 및 데이터 유출 채널을 숨기는 데 반복적으로 악용되고 있다.
출처
- oasis-security.ioCustom Attack Tooling Including Undisclosed C2 Infrastructure ...
- dataproof.co.zaThe Unintentional Enabler: How Cloudflare Services are Abused for ...
- dugganusa.comWhy Your Siem Won't See This
- securityweek.comCloudflare Tunnels Abused in New Malware Campaign
- thehackernews.comNew Malware Campaign Uses Cloudflare Tunnels to Deliver RATs ...
Loading comments...
Comments
0 comments