Microsoft 365 대상 대규모 패스워드 스프레이 공격, 130,000대 이상의 장치 활용한 봇넷 활동

A large botnet targets M365 accounts with password spraying attacks

A large botnet targets M365 accounts with password spraying attacks

 

• 공격 개요
  • 공격자: 중국과 연계된 것으로 추정되는 해커 그룹
  • 공격 대상: Microsoft 365 (M365) 계정
  • 공격 방식: 패스워드 스프레이(Password Spraying) 공격
  • 취약점 활용: 기본 인증(Basic Authentication) 프로토콜 악용
• 공격 기법 및 주요 특징
  • 비대화형 로그인(Non-Interactive Sign-In) 이용
    • 일반적인 MFA(다단계 인증) 및 조건부 액세스 정책(CAP)을 우회
    • 공격 로그는 비대화형 로그인 로그에만 남아, 보안 모니터링에서 탐지 어려움
    • 보안 팀이 간과할 수 있는 비대화형 로그인 로그를 통해 대규모 비밀번호 스프레이 시도 진행
  • 기본 인증(Basic Authentication) 악용
    • 기본 인증은 자격 증명을 평문으로 전송하여 탈취 위험이 높음
    • Microsoft가 기본 인증 프로토콜을 단계적으로 폐지 중이나 여전히 보안 리스크로 작용
    • 공격자는 "fasthttp" 사용자 에이전트를 사용하여 로그인을 시도하며, 이를 통해 MFA를 우회
  • 봇넷의 구조 및 활동
    • 130,000대 이상의 장치로 구성된 대규모 봇넷 활용
    • 주요 C2(Command & Control) 서버는 아시아/상하이 시간대를 설정
    • 공격자는 C2 서버를 통해 중앙에서 봇넷을 제어하며, Apache Zookeeper 및 Kafka를 이용해 운영
    • 공격에 사용된 주요 호스팅 제공업체: SharkTech, CDSC-AS1, UCLOUD HK
    • 주요 포트: 12341, 12342, 12348을 사용하여 공격 트래픽 송수신
• 보안 권고
  • 기본 인증 사용 중단
    • Microsoft의 기본 인증 프로토콜 완전 폐지를 준비하고 대비 필요
    • 자동화 계정이나 API 통합에 기본 인증을 사용 중인 경우, 최신 인증 방법으로 전환
  • 비대화형 로그인 로그 모니터링 강화
    • 보안 팀은 비대화형 로그인 로그를 주기적으로 검토하고, 비정상적인 로그인 시도를 탐지해야 함
    • 비대화형 로그인을 사용하는 서비스 계정에 대해 조건부 액세스 정책을 강화
  • 누출된 자격 증명 모니터링 및 조치
    • 다크웹 및 침해 사고 보고서에서 노출된 자격 증명을 탐색
    • 발견 시 즉각적으로 계정 비밀번호를 재설정하고 MFA를 적용
  • 네트워크 트래픽 분석 및 차단
    • 봇넷의 주요 IP 및 포트를 기반으로 방화벽 및 IDS/IPS 정책 설정
    • 비정상적인 로그인 시도에 대해 자동화된 차단 및 알림 정책 수립
  • 강화된 인증 정책 도입
    • 조건부 액세스 정책: 비대화형 로그인에도 강화된 인증 절차 적용
    • MFA 필수화: 특히 관리자 계정 및 서비스 계정에 강제 적용
    • 서비스 계정 보안 강화: 사용하지 않는 기본 인증을 비활성화하고, API 인증에 안전한 토큰 사용
• 결론
  • 이번 공격은 기존의 대화형 로그인 감시 체계를 우회하는 새로운 접근 방식으로, 조직의 인증 전략 전반을 재평가해야 함
  • 기본 인증의 위험성을 다시 한 번 강조하며, 모든 시스템에서 최신 인증 방식을 도입해야 함
  • 보안 로그 분석 범위를 확대하고, 비대화형 로그인 이벤트도 정밀하게 모니터링하여 잠재적 위협을 사전에 차단할 필요가 있음