Ongoing Cyber Attack Mimic Booking.com to Spread Password-Stealing Malware
Ongoing Cyber Attack Mimic Booking.com to Spread Password-Stealing Malware
Microsoft Threat Intelligence has identified an ongoing phishing campaign that began in December 2024, targeting organizations.
gbhackers.com
- 공격 개요
- 2024년 12월부터 시작된 피싱 캠페인은 Booking.com을 사칭하여 북미, 오세아니아, 남·동남아시아, 유럽 지역의 호텔 산업 종사자를 주요 표적으로 삼음
- 공격자는 가짜 손님 요청, 부정적 후기 응답, 프로모션 안내, 계정 인증 요청 등 현실성 높은 이메일 시나리오를 사용
- PDF 첨부파일 또는 악성 링크를 통해 사용자 클릭 유도 후, 가짜 CAPTCHA 화면을 활용한 추가 기만 전술 활용
- 공격 기법 및 TTP
- ClickFix 기법
- 가짜 CAPTCHA 오버레이에 “실행창 열고 명령어 붙여넣기” 요구
- 사용자가 복사한 명령어를 mshta.exe 실행을 통해 악성코드 실행
- 자동 탐지 우회를 위한 사용자 직접 개입 유도 방식
- 페이로드 유포 방식
- mshta.exe를 통해 원격 서버에서 악성 코드 다운로드 및 실행
- 주요 악성코드 패밀리: XWorm, Lumma Stealer, VenomRAT, AsyncRAT, Danabot, NetSupport RAT 등
- 주된 목적은 자격 증명 탈취 및 금융사기
- ClickFix 기법
- 공격 인프라 및 IOC
- C2 서버 IP 주소
- 92.255.57[.]155, 147.45.44[.]131, 176.113.115[.]170 등
- 파일 해시 (SHA-256)
- 01ec22c3..., f87600e4..., 0c96efbd... (Danabot 관련)
- C2 서버 IP 주소
- 보안 권고
- 사용자 보안 교육
- 발신자 주소, 링크 확인, 문법 오류 점검, 긴급 요청 의심 교육 필요
- CAPTCHA 및 시스템 명령 유도와 같은 행동 요구 시 즉각 보안팀에 알릴 것
- 기술적 방어 수단
- 피싱 저항 인증(MFA), 링크 클릭 시 검사 기능(MS Defender for O365) 적용
- SmartScreen, 클라우드 기반 안티바이러스 보호, 자동 분석/조치 기능 활성화
- ZAP(Zero-hour Auto Purge) 설정으로 피싱 이메일 즉시 격리
- 사용자 보안 교육
- 결론
- Storm-1865는 정교한 사회공학과 ClickFix를 결합해 고도화된 피싱 수법을 시현함
- Booking.com과 같은 신뢰받는 플랫폼을 사칭하여 피해자 심리적 경계 무력화
- 사용자 교육, 다중 인증, 정교한 링크 검사 및 실행 차단 설정이 대응 핵심
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 이스라엘 국적 LockBit 개발자 Rostislav Panev, 미국으로 범죄인 인도 (0) | 2025.04.20 |
|---|---|
| OBSCURE#BAT 악성코드 캠페인, 루트킷 r77을 활용한 은폐 및 지속성 확보 전략 (0) | 2025.04.20 |
| DeepSeek R1의 탈옥 악용 사례와 악성코드 생성 위험 (0) | 2025.04.20 |
| PyPI 악성 패키지 통한 클라우드 토큰 탈취 캠페인 분석 (1) | 2025.04.20 |
| AI 기반 클라우드 MSP 자동화 도입 현황과 베스핀글로벌 사례 분석 (0) | 2025.04.17 |