Russian Star Blizzard Shifts Tactics to Exploit WhatsApp QR Codes for Credential Harvesting
- 공격 개요
- 러시아 기반 위협 그룹 Star Blizzard(이전 명칭 SEABORGIUM)가 WhatsApp 계정을 표적으로 한 새로운 스피어 피싱 캠페인에 연루
- 주요 목표: 정부 및 외교 관계자(현직 및 전직), 방위 정책 전문가, 국제 관계 연구원, 우크라이나 전쟁 지원 관련 인물
- 캠페인은 2024년 11월 말 종료된 것으로 보이나, 공격 기법의 변화를 보여줌
- 이전 공격 기법
- Evilginx를 활용한 AiTM(Adversary-in-the-Middle) 공격
- 자격 증명 및 2단계 인증(2FA) 코드 탈취
- HubSpot 및 MailerLite 같은 이메일 마케팅 플랫폼 활용
- 이메일 송신자의 주소를 위장하여 탐지 회피
- Microsoft와 미 법무부가 180개 이상의 도메인을 압류하며 이전 공격 차단
- Evilginx를 활용한 AiTM(Adversary-in-the-Middle) 공격
- 새로운 공격 기법
- 스피어 피싱 이메일이 미 정부 관계자 발신으로 위장
- QR 코드를 통해 WhatsApp 그룹 참여를 유도
- 이메일에 포함된 QR 코드는 의도적으로 작동하지 않도록 설계
- 피해자가 응답하면, t[.]ly로 단축된 링크를 통해 WhatsApp 그룹 참여 요청
- 링크 클릭 시, 피해자는 QR 코드를 스캔하도록 안내
- 해당 QR 코드는 WhatsApp 계정을 WhatsApp 웹 또는 다른 기기에 연결하는 데 사용
- 공격자는 이를 통해 피해자의 WhatsApp 메시지에 접근하고 데이터 탈취 가능
- 위협 대상
- 정부 및 외교 관계자
- 방위 정책 및 국제 관계 연구원
- 우크라이나 전쟁 지원 관계자
- 보안 권고
- 의심스러운 이메일 조심: QR 코드 또는 외부 링크가 포함된 이메일을 주의
- WhatsApp 계정 보안 강화
- 계정에 2단계 인증(2FA) 활성화
- WhatsApp 웹 또는 기기 연결 기록 정기 확인
- 신뢰할 수 없는 링크 방지
- 단축 URL이나 의심스러운 웹사이트 방문을 피함
- 사이버 위협 교육 강화
- 스피어 피싱 및 QR 코드 기반 공격 기법에 대한 직원 교육
- 결론
- Star Blizzard는 기존의 이메일 중심 공격에서 벗어나 WhatsApp QR 코드 악용으로 전환하며 탐지를 회피하고 지속적으로 민감한 정보를 획득
- 조직 및 개인은 새로운 공격 기법에 대비해 보안 교육과 대응 체계를 강화해야 함
- 지속적 위협 모니터링과 사고 대응 준비가 필수적
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 빗썸 고객 정보 유출 사건 면소 판결 (0) | 2025.01.26 |
|---|---|
| 2024년 가장 큰 데이터 유출 사건의 주요 원인: 도난된 자격 증명과 계정 탈취 (0) | 2025.01.25 |
| Clop 랜섬웨어, Cleo 파일 전송 소프트웨어 취약점 악용 (0) | 2025.01.25 |
| 도커와 OCI 컨테이너를 사용해야 하는 이유 (0) | 2025.01.25 |
| Google Ads 사용자를 노리는 악성 광고 캠페인: 자격 증명 및 2FA 코드 탈취 (1) | 2025.01.25 |