Home > 전체기사

“팩스 도착했어요”라고 속이는 피싱 캠페인, MS 365 크리덴셜 노려

  |  입력 : 2020-12-15 15:21
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
이팩스 사칭한 정교한 피싱 캠페인, 피해자들의 MS 오피스 365 크리덴셜 탈취
피싱 메일과 페이지 모두 진짜와 똑같이 만들어져 있어...들키면 발신자와 링크 교체


[보안뉴스 문가용 기자] 미국 재무부와 상무부에서 발생한 사이버 공격이 마이크로소프트 365와 관련이 있는 것으로 밝혀진 가운데, 오피스 365 크리덴셜을 노리는 또 다른 캠페인이 발견됐다. 지난 주부터 여러 조직들을 노리며 진행되었다고 한다.

[이미지 = utoimage]


이 캠페인의 운영자는 수천 개의 정상 이메일 계정을 침해한 후 피싱 메일을 전송하는 데 활용했다. 피싱 메일은 주로 ‘배송 관련 안내 메일’로 위장되어 있었다. 그러나 이메일을 열고 공격자들의 안내를 따라가는 순간 오피스 365의 크리덴셜이 공격자의 손으로 넘어간다.

이 캠페인을 발견한 보안 업체 앱노멀 시큐리티(Abnormal Security)는 “정상적인 계정과 막 생성된 URL들을 수천 개씩 활용했다는 건, 공격자들이 전통적인 개념의 위협 첩보 솔루션들을 피해가는 데에 집중했다는 뜻”이라고 해석하고 있다. “기존의 방어 체계가 신뢰할 만한 주소들을 가지고 피싱 공격을 했다는 것입니다.”

공격은 ‘문서가 도착했다’는 내용의 메일로부터 시작한다. 특히 인터넷 팩스 서비스인 이펙스(eFax)가 자주 사칭된다. 앱노멀 시큐리티 측이 확보한 샘플 중 하나는 제목이 ‘팩스 문서 도착 #-003351977’로, 정상적인 이팩스 브랜드도 포함하고 있었다. 내용은 ‘새로운 팩스가 도착했다’이며, 팩스 문서의 샘플 이미지도 동봉되어 있다. 문서를 열람하려면 ‘문서 열람’이라는 버튼을 눌러야 한다.

이 이메일은 대단히 정교하게 만들어져 있어서 진짜 이팩스가 보내는 모든 요소들이 다 담겨져 있다. 메일 밑부분에는 이팩스의 전화번호와 이메일 주소, 현재 진행하고 있는 프로모션 내용까지 담겨져 있을 정도였다고 한다. “이런 식의 메일이 다양한 형태로 조금씩 바뀌어서, 여러 정상 메일 주소로부터 발송되는 겁니다. 그 메일 주소들이 정상적인 거라서 보안 솔루션들을 피해갈 수 있는 것이고요.”

피해자가 이 이메일에 속아 문서 열람 버튼을 누르면 가짜 마이크로소프트 오피스 365 피싱 페이지로 연결된다. 현재 이 가짜 페이지 수백 개가 탐지되어 있는 상태인데, 주맥(Joomag), 위블리(Weebly), 큅(Quip)과 같은 디지털 퍼블리싱 사이트에 호스팅 되어 있다고 한다. 이 페이지들에는 샘플 팩스 이미지와 발신자 ID, 참조 번호가 올라와 있으며, ‘문서 보기’ 버튼이 한 번 더 나온다. 이 페이지들조차 이팩스가 실제로 사용하는 랜딩 페이지들과 상당히 유사하다고 한다.

피해자들이 한 번 더 속아 여기서의 문서 보기 버튼을 누를 경우 마지막 크리덴셜 피싱 페이지로 연결된다. 여기서 피해자들에게 MS 오피스 365 크리덴셜을 입력하라는 요구가 나오고, 피해자들이 문서를 보기 위해 크리덴셜을 입력하면 해당 정보는 공격자들의 손으로 넘어간다.

캠페인 운영자들은 한 이메일이 탐지되어 적발되면 곧바로 스크립트를 돌려 발신자와 피싱 링크를 변경하기도 한다고 한다. 이 때문에 탐지가 어려워질 뿐만 아니라, 탐지가 된다 하더라도 피싱 캠페인을 이어갈 수 있게 된다.

마이크로소프트 오피스 365 크리덴셜을 노리는 피싱 캠페인은 요 몇 개월 사이 급속도로 늘어나고 있다. 10월에는 마이크로소프트 팀즈(Microsoft Teams)에서 보낸 공식 메일과 같은 형태의 피싱 메일이 돌아다녔고, 얼마 후에는 숙박업 혹은 여행업에서 보낸 것과 같은 피싱 이메일이 대규모로 발견되기도 했다. 초한 이번 달에는 Microsoft.com이라는 도메인이 스푸핑 되어 2억 명의 오피스 365 사용자들을 겨냥한 스피어피싱 캠페인이 적발되기도 했었다.

4줄 요약
1. 오피스 365 크리덴셜 노리는 또 다른 피싱 캠페인 발견됨.
2. 이번에는 이팩스라는 온라인 팩스 서비스를 사칭한 것임.
3. 메일과 피싱 페이지 모두 정교하게 만들어져 있음.
4. 또한 한 메일이 적발되면, 곧바로 발신자와 피싱 링크 변경시켜 공격 이어가고 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
파워비즈배너 시작 11월6일 20181105-20200131위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2022년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
다크웹의 대중화 추세, 사이버범죄의 확산을 이끌다
월패드 등 가정집 노리는 해킹, IoT 보안의 패러다임을 바꿔라
클라우드 확산에 따른 보안 위협, 이제부터가 진짜 시작
전략의 혁신으로 중흥기 맞은 랜섬웨어
분산 네트워크와 제로트러스트의 대두
대선·올림픽·월드컵 등 대형 이벤트 노린 사이버공격 대응
메타버스·NFT 등 가상세계 플랫폼 확산과 보안위협
수술실·지하철·요양원까지... CCTV 의무 설치 확대
중대재해처벌법 시행에 따른 안전과 보안장비의 융합
비대면 트렌드에 따른 인증수단 다양화와 보안 강화