러시아 연계 해커, '디바이스 코드 피싱'을 활용한 계정 탈취 공격

Microsoft: Russian-Linked Hackers Using 'Device Code Phishing' to Hijack Accounts

 

Storm-2372 conducts device code phishing campaign | Microsoft Security Blog

 

• 공격 개요
  • Microsoft는 Storm-2372로 명명된 새로운 위협 그룹의 활동을 경고
  • 2024년 8월부터 시작된 이 공격은 정부, 비정부기구(NGO), IT 서비스, 국방, 통신, 의료, 고등교육, 에너지 및 석유/가스 부문을 대상으로 함
  • 주요 공격 지역: 유럽, 북미, 아프리카, 중동
  • 러시아 국가 이익과 연계된 것으로 평가 (중간 수준의 신뢰도)
• 디바이스 코드 피싱 기법
  • 디바이스 코드 인증 흐름 (Device Code Authentication Flow)을 악용하여 인증 토큰을 탈취
  • 공격자는 Microsoft Teams 회의 초대장으로 위장한 피싱 이메일을 발송
  • 피해자가 초대장을 클릭하면, 공격자가 생성한 디바이스 코드를 입력하도록 유도
  • 사용자가 디바이스 코드를 입력하면, 공격자는 인증 및 갱신 토큰을 획득
  • 탈취된 인증 토큰을 사용해 이메일, 클라우드 스토리지 등 사용자가 권한을 가진 다른 서비스에 접근 가능
• 공격 방법
  • WhatsApp, Signal, Microsoft Teams와 같은 메시징 앱을 통해 유명 인사로 가장하여 신뢰를 형성
  • 피해자가 디바이스 코드 인증을 통해 로그인하면 공격자는 이를 활용해 지속적인 접근 권한을 확보
  • Microsoft Graph API를 통해 탈취한 계정의 이메일 메시지를 검색
  • 검색 키워드: username, password, admin, teamviewer, anydesk, credentials, secret, ministry, gov
  • 필터 조건에 맞는 이메일은 공격자에게 자동 전송 (Exfiltration)
  • 공격자는 조직 내 다른 사용자에게 동일한 방식으로 피싱 메시지를 전송하며 횡적 이동 (Lateral Movement)을 수행
• 최신 업데이트 (2025년 2월 14일)
  • Storm-2372는 Microsoft Authentication Broker의 특정 클라이언트 ID (Client ID)를 활용
  • 이를 통해 갱신 토큰 (Refresh Token)을 수신하고, 공격자가 제어하는 장치를 Entra ID에 등록
  • 새로운 장치 ID를 사용하여 Primary Refresh Token (PRT)을 확보하고 조직의 자원에 접근
  • 지역에 맞는 프록시 사용을 통해 의심스러운 로그인 활동을 은폐
• 관련 위협 그룹
  • Volexity에 따르면, APT29 (BlueBravo, Cloaked Ursa, CozyLarch, Cozy Bear, Midnight Blizzard, The Dukes)와 UTA0304, UTA0307로 명명된 그룹이 동일한 기법을 사용
  • UTA0304는 Signal을 통해 우크라이나 국방부 관계자로 가장해 대화를 유도
  • Microsoft Teams 회의 초대장을 통해 디바이스 코드 입력을 요구, 계정 접근을 시도
• 보안 권고
  • 디바이스 코드 흐름을 차단할 것을 권장 (Microsoft Entra ID의 Conditional Access 정책 활용)
  • 피싱 방지 다중 인증 (Phishing-resistant MFA) 활성화
  • 의심스러운 인증 세션 감지 시 갱신 토큰을 revokeSignInSessions 명령어로 해지
  • 로그인 위험 정책 (Sign-in Risk Policy) 설정을 통해 위험한 로그인 시도를 자동으로 대응
  • MFA 구현 시 FIDO2 토큰 또는 Microsoft Authenticator와 같은 안전한 인증 방법 활용
  • Microsoft Defender XDR을 사용하여 피싱 활동을 탐지하고, Microsoft Sentinel을 활용하여 이메일 탈취 시도를 지속적으로 모니터링