MS, 메신저 앱 대상 피싱 공격 발견…“러시아 해킹 그룹 소행 추정” - 아이티데일리
MS, 메신저 앱 대상 피싱 공격 발견…“러시아 해킹 그룹 소행 추정” - 아이티데일리
[아이티데일리] 마이크로소프트(MS)가 글로벌 메신저 앱 대상으로 이뤄진 장치 코드 피싱(Phishing) 공격을 발견했다. 이는 여러 국가의 정부 기관, 비정부기구(NGO), IT 서비스 기업을 표적으로 삼았
www.itdaily.kr
- 사건 개요
- 마이크로소프트(MS), 글로벌 메신저 앱 대상 장치 코드 피싱(Phishing) 공격 포착
- 주요 공격 대상: 유럽, 북미, 아프리카, 중동의 정부 기관, NGO, IT 서비스 기업, 방위 및 통신 분야
- 스톰-2372(Storm-2372)라는 위협 행위 집단이 공격 배후로 추정, 러시아와 연관성 시사
- 공격 시작 시점: 2024년 8월부터 활동 지속
- 공격 기법 및 과정
- 장치 코드 인증 프로세스 악용
- 입력 제한 장치에서 사용하는 숫자 및 영문 코드 기반 인증 절차를 악용
- 인증 토큰을 캡처해 계정 접근 권한 탈취
- 피싱 공격 유포 방식
- WhatsApp, Microsoft Teams, Signal 등 메신저 앱 통한 초대장 위장 메일 발송
- 팀즈 회의 초대장으로 위장한 이메일 클릭 시, 장치 코드 입력 유도
- 사용자 인증 과정에서 위협 행위자가 접근 토큰 수신 및 세션 탈취
- 신뢰 형성 기법
- 공격 전, 저명 인사 사칭해 온라인 이벤트 및 회의 초대장 발송
- 공격 대상의 경계심 완화를 통한 사회공학적 기법 활용
- 침해된 계정의 데이터 탐색
- Microsoft Graph API 사용하여 계정 내 메시지 검색 및 정보 수집
- 주요 탐색 키워드: 사용자 이름, 비밀번호, 자격 증명, 정부 관련 키워드 포함
- 민감 정보 및 기타 서비스 접근 권한 추가 확보
- 장치 코드 인증 프로세스 악용
- 보안 권고
- 장치 코드 인증 프로세스 차단 권장
- 의심되는 피싱 공격 발견 시
- 'revokeSignInSessions' 호출로 인증 토큰 무효화
- 조건부 액세스 설정을 통한 사용자 재인증 강제
- 강화된 메신저 보안 정책 적용 및 사용자의 피싱 인식 교육 필요
- API 접근 모니터링 강화 및 비정상적인 검색 패턴 탐지
- 결론
- 장치 코드 인증 방식의 보안 취약성 노출
- 인증 편의성을 위해 도입된 기능이 공격 경로로 전환될 수 있음
- 사회공학 기반 피싱 공격의 진화
- 신뢰성 확보 후 추가 공격 시도, 사용자 경계 약화에 주의 필요
- API 악용을 통한 침해 확대 경계 필요
- 클라우드 서비스 내 내부 데이터 보호 강화 필수
- 기업 및 기관 대응 방안
- 장치 코드 인증 사용 시 추가 인증 절차 강화
- 계정 및 세션 모니터링 체계적 구축
- 피싱 훈련 및 보안 교육을 통한 사용자 대응력 강화
- 장치 코드 인증 방식의 보안 취약성 노출
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 엘라스틱 시큐리티, 마이크로소프트 그래프 API 악용한 데이터 도용 멀웨어 경고 (0) | 2025.02.24 |
|---|---|
| 국가간 개인정보 보호 격차와 AI 데이터 침해 위협 증가 (2) | 2025.02.24 |
| CISA 및 파트너, Ghost(크링) 랜섬웨어에 대한 공동 보안 권고 발표 (0) | 2025.02.24 |
| 삼성SDS, 2025년 주의해야 할 5대 사이버 보안 위협 발표 (0) | 2025.02.24 |
| 전국 지자체와 개인정보보호위원회, 공공부문 개인정보보호 협력 강화 (0) | 2025.02.24 |