Botnet of 130K Devices Targets Microsoft 365 in Password-Spraying Attack
Botnet of 130K Devices Targets Microsoft 365 in Password-Spraying Attack
Follow us on Bluesky, Twitter (X) and Facebook at @Hackread
hackread.com
- 공격 개요
- 새로운 봇넷 기반 사이버 공격이 Microsoft 365 사용자를 위협
- 보안 연구 기관 SecurityScorecard에 따르면, 130,000개 이상의 감염된 디바이스가 Microsoft 365 계정에 대해 패스워드 스프레이(Password Spraying) 공격을 수행 중
- 금융, 헬스케어, 정부, 기술, 교육 기관 등 다양한 산업의 Microsoft 365 테넌트를 대상으로 함
- 공격 방법
- 비대화형 로그인(Non-Interactive Sign-Ins)
- 일반적인 로그인 메커니즘과 달리 MFA(다중 인증)를 우회
- 자동화된 프로세스나 백그라운드 서비스에서 사용되며, 일반적인 사용자 로그인을 감시하는 보안 시스템을 쉽게 피해감
- 기본 인증(Basic Authentication) 악용
- 암호화되지 않은 사용자 인증 정보를 전송, 계정 보안이 취약
- 최신 인증 방식(MFA 지원) 대비 보안 수준이 현저히 낮음
- C2(Command and Control) 서버 활용
- 6개의 C2 서버를 통해 봇넷을 조율
- 감염된 디바이스에 명령을 전달하고, 중국과 연결된 클라우드 제공업체의 프록시 서비스를 활용
- 네트워크 트래픽 분석 결과, 봇넷 관리 및 명령 전송에 사용되는 여러 개방 포트 확인
- 비대화형 로그인(Non-Interactive Sign-Ins)
- 공격 결과 및 위험 요소
- 계정 탈취 위험
- 이메일, 문서, 협업 도구에 무단 접근 가능
- 계정 잠금 현상으로 서비스 중단 및 업무 차질 발생 가능
- 피싱 및 내부 확산 위험
- 탈취한 계정을 통해 피싱 캠페인을 전개하거나, 내부 시스템으로의 횡적 이동(Lateral Movement) 시도
- 비대화형 로그인 방식을 이용해 기존의 보안 모니터링 시스템을 회피
- 계정 탈취 위험
- 보안 권고
- 로그 모니터링 강화
- 비대화형 로그인 이벤트도 모니터링 범위에 포함
- 의심스러운 로그인 시도 및 비정상적인 저장소/파트리션 수정 활동을 주의 깊게 분석
- 서비스 계정 감사
- 기본 인증을 사용 중인 서비스 계정을 파악하고, 노출된 인증 정보 변경
- 백그라운드 서비스 계정에 대해 최신 인증 방법(예: 인증서, 관리형 ID)으로 전환
- 네트워크 트래픽 감시
- 비정상적인 로그인 패턴이나 C2 서버와 연결된 IP 주소 감시
- 비정상적인 파일 시스템 활동 탐지
- 정책 및 인증 방법 업데이트
- Microsoft 365의 조건부 액세스 정책을 통해 비대화형 로그인을 제한
- 기본 인증 프로토콜을 완전히 차단하고, 최신 인증 프로토콜로 마이그레이션
- 추가 보안 설정 활용
- 자동화된 로그인에 대해서는 인증서 기반 인증이나 비공유 관리 ID 사용
- 기존 시스템을 방해하지 않도록 신중하게 정책을 적용
- 로그 모니터링 강화
- 결론
- Microsoft가 2025년 내에 기본 인증 프로토콜을 완전히 폐기할 예정
- 조직은 이러한 은밀한 공격으로부터 보호하기 위해 보안 정책을 즉시 강화해야 함
- Jason Soroko(Sectigo 수석 연구원): "자동화된 로그인은 대부분 MFA를 사용하지 않으므로, 인증서나 관리형 ID 같은 대체 보안 메커니즘을 사용해야 한다"고 권고
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
TSforge, Windows 활성화 우회 도구 등장 - 모든 버전 지원 (0) | 2025.03.07 |
---|---|
UAC-0212, 우크라이나 주요 인프라를 겨냥한 치명적 사이버 공격 (0) | 2025.03.07 |
IT가 놓친 사용자 40%를 위한 새로운 네트워킹 혁신 (0) | 2025.03.07 |
AI 혁신을 위한 보편적 네트워크 패브릭, 이더넷(Ethernet)의 부상 (0) | 2025.03.07 |
클라우드 비용 최적화 실패 원인과 핀옵스(FinOps) 성공 전략 (0) | 2025.03.07 |