Kant's IT/Issue on IT&Security

Microsoft 365를 노리는 130,000개 디바이스 봇넷의 패스워드 스프레이 공격

Kant Jo 2025. 3. 7. 13:37

Botnet of 130K Devices Targets Microsoft 365 in Password-Spraying Attack

 

Botnet of 130K Devices Targets Microsoft 365 in Password-Spraying Attack

Follow us on Bluesky, Twitter (X) and Facebook at @Hackread

hackread.com

 

  • 공격 개요
    • 새로운 봇넷 기반 사이버 공격이 Microsoft 365 사용자를 위협
    • 보안 연구 기관 SecurityScorecard에 따르면, 130,000개 이상의 감염된 디바이스가 Microsoft 365 계정에 대해 패스워드 스프레이(Password Spraying) 공격을 수행 중
    • 금융, 헬스케어, 정부, 기술, 교육 기관 등 다양한 산업의 Microsoft 365 테넌트를 대상으로 함
  • 공격 방법
    • 비대화형 로그인(Non-Interactive Sign-Ins)
      • 일반적인 로그인 메커니즘과 달리 MFA(다중 인증)를 우회
      • 자동화된 프로세스나 백그라운드 서비스에서 사용되며, 일반적인 사용자 로그인을 감시하는 보안 시스템을 쉽게 피해감
    • 기본 인증(Basic Authentication) 악용
      • 암호화되지 않은 사용자 인증 정보를 전송, 계정 보안이 취약
      • 최신 인증 방식(MFA 지원) 대비 보안 수준이 현저히 낮음
    • C2(Command and Control) 서버 활용
      • 6개의 C2 서버를 통해 봇넷을 조율
      • 감염된 디바이스에 명령을 전달하고, 중국과 연결된 클라우드 제공업체의 프록시 서비스를 활용
      • 네트워크 트래픽 분석 결과, 봇넷 관리 및 명령 전송에 사용되는 여러 개방 포트 확인
  • 공격 결과 및 위험 요소
    • 계정 탈취 위험
      • 이메일, 문서, 협업 도구에 무단 접근 가능
      • 계정 잠금 현상으로 서비스 중단 및 업무 차질 발생 가능
    • 피싱 및 내부 확산 위험
      • 탈취한 계정을 통해 피싱 캠페인을 전개하거나, 내부 시스템으로의 횡적 이동(Lateral Movement) 시도
      • 비대화형 로그인 방식을 이용해 기존의 보안 모니터링 시스템을 회피
  • 보안 권고
    • 로그 모니터링 강화
      • 비대화형 로그인 이벤트도 모니터링 범위에 포함
      • 의심스러운 로그인 시도 및 비정상적인 저장소/파트리션 수정 활동을 주의 깊게 분석
    • 서비스 계정 감사
      • 기본 인증을 사용 중인 서비스 계정을 파악하고, 노출된 인증 정보 변경
      • 백그라운드 서비스 계정에 대해 최신 인증 방법(예: 인증서, 관리형 ID)으로 전환
    • 네트워크 트래픽 감시
      • 비정상적인 로그인 패턴이나 C2 서버와 연결된 IP 주소 감시
      • 비정상적인 파일 시스템 활동 탐지
    • 정책 및 인증 방법 업데이트
      • Microsoft 365의 조건부 액세스 정책을 통해 비대화형 로그인을 제한
      • 기본 인증 프로토콜을 완전히 차단하고, 최신 인증 프로토콜로 마이그레이션
    • 추가 보안 설정 활용
      • 자동화된 로그인에 대해서는 인증서 기반 인증이나 비공유 관리 ID 사용
      • 기존 시스템을 방해하지 않도록 신중하게 정책을 적용
  • 결론
    • Microsoft가 2025년 내에 기본 인증 프로토콜을 완전히 폐기할 예정
    • 조직은 이러한 은밀한 공격으로부터 보호하기 위해 보안 정책을 즉시 강화해야 함
    • Jason Soroko(Sectigo 수석 연구원): "자동화된 로그인은 대부분 MFA를 사용하지 않으므로, 인증서나 관리형 ID 같은 대체 보안 메커니즘을 사용해야 한다"고 권고