New 'Sneaky 2FA' Phishing Kit Targets Microsoft 365 Accounts with 2FA Code Bypass
- 공격 개요
- Adversary-in-the-Middle(AitM) 기반 피싱 키트 ‘Sneaky 2FA’ 발견
- Microsoft 365 계정 탈취 및 2FA(이중 인증) 코드 우회 가능
- 2024년 10월부터 활동 시작, 프랑스 보안 기업 Sekoia가 2024년 12월 발견
- 현재까지 100개 이상의 도메인에서 해당 피싱 페이지 운영 중
- 피싱 공격 기법
- 피싱-서비스-형(Phishing-as-a-Service, PhaaS)으로 판매
- Telegram 기반 ‘Sneaky Log’ 서비스를 통해 공격자에게 소스 코드 제공
- 결제 영수증 관련 이메일을 발송하여 사용자가 QR 코드를 스캔하도록 유도
- QR 코드 스캔 시 ‘Sneaky 2FA’ 피싱 페이지로 리디렉션
- 피싱 페이지는 공격자가 제어하는 도메인(WordPress 사이트 포함)에서 호스팅
- 이메일 자동 입력 기능을 이용해 사용자의 신뢰도를 높임
- 방어 우회 기법
- 안티 봇 및 안티 분석 기능 포함
- Cloudflare Turnstile 사용으로 보안 연구자의 분석 회피
- 웹 브라우저 개발자 도구 탐지를 통해 분석 시도를 차단
- 클라우드, 프록시, VPN IP 주소 사용 시 Microsoft 관련 Wikipedia 페이지로 리디렉션
- 피싱 키트의 작동 방식
- 중앙 서버에서 라이선스 키 확인 후 사용 가능
- 월 $200에 판매되는 구독형 모델
- W3LL Panel(2023년 Group-IB가 발견한 피싱 키트)과 코드 유사성 존재
- 과거 Evilginx2 및 Greatness 피싱 키트와 연관된 도메인 사용 기록 발견
- 보안 권고
- Microsoft 365 사용자 대상 보안 인식 교육 강화
- 이메일 기반 QR 코드 스캔 시 즉시 경고
- Cloudflare Turnstile 우회 및 사용자 에이전트(User-Agent) 변조 탐지
- 정상적인 인증 흐름과 다른 User-Agent 전환 감지하여 피싱 여부 판별
- 기업 보안팀은 AitM 기반 피싱 탐지를 위한 로그 분석 강화
- 의심스러운 로그인 시도를 차단하고, 추가 다중 인증(MFA) 방법 적용 고려
- 결론
- Sneaky 2FA는 AitM 기법을 활용한 새로운 형태의 피싱 서비스
- W3LL Panel 및 Evilginx2 등의 기존 피싱 키트와 연계 가능성 높음
- Microsoft 365와 같은 클라우드 서비스의 보안 강화 필요
- 사용자는 QR 코드 기반 로그인 요청을 주의하고, 보안 솔루션을 최신 상태로 유지해야 함
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 공무원들이 사용하는 클로바노트의 보안 문제와 기밀 유출 우려 (0) | 2025.02.03 |
|---|---|
| 가평군청 개인정보 유출 사건 분석 (0) | 2025.02.03 |
| PHP 서버를 악용하는 Python 봇넷, 도박 플랫폼 확산 유도 (0) | 2025.02.02 |
| Windows 10에서 Microsoft 365 지원 2025년 10월 종료 (0) | 2025.02.02 |
| 웹사이트 백도어: 숨겨진 보안 위협과 대응 방안 (0) | 2025.02.02 |