Home > 전체기사

2억 명의 마이크로소프트 365 사용자 노린 피싱 캠페인 발견돼

  |  입력 : 2020-12-08 14:41
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
전 세계 사용자들 중 금융, 의료, 보험, 제조, 통신사 등이 집중적으로 노려져
365 계정 확보하면 다양한 공격 실시 가능해...정보 빼돌리기에서부터 멀웨어 심기까지


[보안뉴스 문가용 기자] 대형 피싱 캠페인이 발견됐다. 무려 2억 명의 마이크로소프트 365 사용자들을 노린 것으로 특별히 금융, 의료, 보험, 제조, 편의시설, 통신사들이 집중 겨냥됐다고 보안 업체 아이언스케일즈(Ironscales)가 밝혔다.

[이미지 = utoimage]


공격자들은 도메인 스푸핑이라는 기술을 사용해 마이크로소프트 아웃룩 공식 담당부서에서 보낸 것과 같은 메일을 만들어 활용한다고 한다. 발신자의 주소는 no-reply@microsoft.com이다. 메일 전체적으로 다급한 분위기를 자아내고 있으며, 이를 해결하려면 새로운 마이크로소프트 365 기술을 사용해야 한다는 내용을 담고 있다.

이메일에는 링크가 하나 걸려 있는데 클릭할 경우 피해자는 보안 포털로 우회 접속된다. 여기서 피해자들은 일반적으로 마이크로소프트의 익스체인지 온라인 프로텍션(Exchange Online Protection, EOP)이 걸러냈을 메시지들을 열람하거나 인터랙션을 할 수 있게 된다. 이 캠페인의 경우 사용자들에게 요구하는 인터랙션은 로그인을 하라는 것으로, 이를 통해 사용자들의 정상 크리덴셜을 가져갈 수 있게 된다.

도메인 스푸핑 공격은 정상적인 도메인을 한 글자도 틀리지 않고 활용해 악성 메시지를 보내는 기법이기 때문에 주의력 깊은 보안 전문가들도 충분히 속을 수 있는 피싱 기법이다. 기술적으로 구현해내는 것이 조금 복잡하긴 하지만 성공률이 충분히 높기 때문에 공격자들로서는 얼마든지 탐구해볼 만한 가치를 가지고 있다.

“맨눈으로 보기에는 이메일 주소에서 수상한 기운을 느낄 수는 없습니다. microsoft.com에서 온 메일이니까요. 다만 메시지에서 느껴지는 다급함은 충분히 수상하다는 느낌을 줍니다. 보통 MS가 그런 식으로 고객들을 다그치거나 재촉하지는 않거든요. 심지어 긴급한 상황이니 새로운 기능을 설치하고, 그 전에 로그인부터 하라는 일련의 메시지 역시 MS의 고객 메일에서 좀처럼 발견하기 힘든 것입니다.” 아이언스케일즈의 설명이다.

이런 종류의 위협들을 완화시키고자 한다면 이메일 보안 매커니즘을 설치해야 한다고 아이언스케일즈는 권고했다. 특히 디마키(DMARC)라는 이메일 인증 프로토콜을 구축 및 적용하는 것이 도메인 스푸핑 공격 방어에 효과적이라고 알리기도 했다.

마이크로소프트 365는 현재 사이버 범죄자들 사이에서 가장 인기가 높은 플랫폼이다. 초보 해커들에서부터 국가의 지원을 받는 고급 해커들까지 구별 없이 마이크로소프트 365의 크리덴셜을 노린다. 정상 로그인에 성공할 경우 각종 기업 기밀과 민감한 정보에 도달할 수 있게 때문이다. 고급 해커들은 365 크리덴션을 확보한 후 은밀하고 조용하게 접속해가며 오랜 시간 정보를 빼돌리는 데 집중한다.

어떤 APT 그룹들의 경우 관리자 크리덴셜을 훔쳐내 피해자 조직의 마이크로소프트 365 환경을 계속해서 염탐하고, 어떤 APT 그룹들은 환경설정 등을 조작하는 등의 추가 공격을 통해 오류를 발견하고, 이를 익스플로잇 하는 악성 행위를 이어가기도 한다. 악명 높은 BEC 공격에 도난당한 마이크로소프트 365의 크리덴셜이 활용되기도 한다.

이번에 발견된 것과 같은 캠페인은 공격자들의 해킹 실력 및 공격력이 계속해서 발전하는 중이라는 걸 드러낸다. 지난 10월에도 보안 업체 벡트라(Vectra)는 공격자들이 마이크로소프트 365 계정들을 활용해 네트워크 내에서 횡적으로 움직이고 피해를 최대화 한다는 내용의 보고서를 발표한 바 있다. 이번 아이언스케일즈의 보고서를 통해 한 달여 만에 해커들이 공격의 규모를 크게 늘렸다는 것을 알 수 있다. 도메인 스푸핑이라는 고급 피싱 기술도 등장했고 말이다.

앞으로도 마이크로소프트 365의 계정을 노리는 공격 시도는 계속해서 이어질 전망이다. 기업들에서 생산과 업무 진행을 위해 마이크로소프트 365를 활용하는 사례가 점점 많아지고 있기 때문에 공격자들로서는 멈출 이유가 없다. 사용자 조직들에서는 임직원의 계정을 항상 모니터링 함으로써 수상한 활동 내역을 곧바로 탐지해 그 이유를 파악할 수 있어야 한다고 아이언스케일즈는 권고했다.

3줄 요약
1. 2억 명 마이크로소프트 365 계정을 노리는 피싱 캠페인 발견됨.
2. 이번 캠페인에서 활용된 기법은 ‘도메인 스푸핑.’ 악성 메일의 출처는 microsoft.com.
3. 마이크로소프트 365 계정의 인기 너무 높아 계속해서 높은 수준의 표적 공격 이어질 것 예상됨.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

권장도서 2020.12.08 15:08

마이크로소프트는 대체로 문제가 발생하면 숨깁니다. ㅋㅋㅋ


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 상반기 발생했던 보안 사건 가운데 가장 파급력이 컸던 이슈는 무엇이라고 보시나요?
솔라윈즈 사건
콜로니얼 파이프라인 사건
카세야 사건
익스체인지 서버 취약점 사건
원자력연구원/KAI 해킹 사건
국내 대기업 주요 정보 다크웹 유출 사건
기타(댓글로)