New Star Blizzard spear-phishing campaign targets WhatsApp accounts | Microsoft Security Blog
- 개요
- 러시아 기반 위협 그룹 Star Blizzard가 WhatsApp을 활용한 새로운 스피어 피싱 공격 전개
- 기존 이메일 피싱 기법에서 벗어나 새로운 접근 방식으로 계정 탈취 시도
- 주요 공격 대상: 정부 및 외교 관계자, 국방 정책 연구자, 우크라이나 지원 단체 관계자
- 미국 법무부 및 Microsoft의 조치 이후 공격 전략 변화
- 공격 방식
- 이메일을 통해 타겟에게 접촉하여 WhatsApp 그룹 초대 링크 제공
- 첫 번째 이메일: QR 코드 포함(의도적으로 깨진 코드) → 타겟이 문의하도록 유도
- 두 번째 이메일: 정상적인 WhatsApp 그룹 초대 링크인 것처럼 보이는 악성 URL 제공
- 사용자가 QR 코드를 스캔하면 WhatsApp 웹 연동 기능이 활성화됨
- 공격자는 WhatsApp 계정의 메시지에 접근하고, 기존 브라우저 플러그인을 활용해 데이터 탈취
- 위협 분석
- 이전과 다른 새로운 접근 방식: 기존 피싱 기법(이메일, 악성 링크)에서 벗어나 WhatsApp 연동 기능 악용
- 타겟의 정부 및 외교 분야 관계자들에 대한 지속적인 사이버 공격 수행
- 연방 기관 및 사이버 보안 조직의 감시에도 불구하고 빠르게 전술을 변경하여 지속적인 공격 시도
- 보안 권고
- 이메일 및 메시지 주의
- 신뢰할 수 없는 이메일 및 메시지의 QR 코드 또는 링크 클릭 금지
- 의심스러운 메시지를 받은 경우, 발신자의 신원을 직접 확인
- 기술적 대응 조치
- Microsoft Defender for Endpoint(Anti-Phishing 기능 활성화) 적용
- Microsoft Defender for Endpoint의 네트워크 보호 기능 사용
- Microsoft Defender Antivirus의 클라우드 기반 보호 기능 활성화
- Microsoft Defender XDR 및 Microsoft Sentinel을 이용한 탐지 및 대응
- 보안 교육 강화
- WhatsApp 및 기타 메시징 플랫폼을 이용한 소셜 엔지니어링 공격 교육 제공
- 정부 및 외교, 연구 기관 종사자 대상 보안 인식 교육 확대
- 이메일 및 메시지 주의
- 결론
- Star Blizzard의 피싱 공격이 기존 이메일 기반에서 WhatsApp으로 확장됨
- QR 코드 및 링크 기반 계정 탈취 공격이 증가할 가능성 있음
- 기업 및 기관은 보안 교육 강화 및 기술적 대응 조치를 마련해야 함
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| PlushDaemon APT, 한국 VPN 공급자를 대상으로 한 공급망 공격 (0) | 2025.02.01 |
|---|---|
| MasterCard DNS 오류, 수년간 무시되다 (0) | 2025.02.01 |
| 지속적 위협 노출 관리(CTEM) - 선제적 보안을 위한 프레임워크 (0) | 2025.02.01 |
| 랜섬웨어 그룹, 마이크로소프트 오피스 365 악용한 공격 (1) | 2025.02.01 |
| 보이지 않는 프롬프트 주입 (Invisible Prompt Injection)과 AI 보안 위협 (0) | 2025.02.01 |