Sophisticated Phishing Attack Leverages Microsoft 365 Infrastructure to Target Users
Sophisticated Phishing Attack Leverages Microsoft 365 Infrastructure to Target Users
A highly sophisticated phishing campaign has been uncovered exploiting Microsoft 365's trusted infrastructure.
gbhackers.com
- 공격 개요
- Microsoft 365의 신뢰된 인프라를 악용한 정교한 피싱 캠페인이 발견됨
- 계정 탈취 및 인증정보 수집을 목적으로 한 비즈니스 이메일 침해(BEC) 공격 수행
- Microsoft 도메인과 테넌트 설정 오류를 활용해 보안 우회
- 공격 전술 및 인프라 구성
- 공격자는 다수의 Microsoft 365 조직 테넌트를 장악하여 역할 분담
- 하나는 무단 구매 등 사기 행위 수행
- 하나는 브랜드 사칭을 통한 신뢰도 확보
- 하나는 피싱 이메일 중계용 은닉 경로로 활용
- 기본 도메인(*.onmicrosoft.com)을 사용하는 관리자 계정을 생성해 탐지 회피
- 메일 포워딩 및 전송 규칙 설정을 통해 피해자에게 이메일 전송
- 공격자는 다수의 Microsoft 365 조직 테넌트를 장악하여 역할 분담
- 사회공학 기법과 탐지 회피 전략
- 테넌트 이름 필드에 피싱 유도 문구 삽입해 신뢰를 유도
- 예: Microsoft 거래 알림을 사칭한 메시지 내에 가짜 고객센터 번호 포함
- 이메일 내 URL 필드 대신 음성 통화 유도를 통해 탐지 회피
- SPF, DKIM, DMARC 인증 통과로 보안 솔루션 우회
- 실제 금융 거래 관련 알림처럼 가장해 긴급성 유도
- 테넌트 이름 필드에 피싱 유도 문구 삽입해 신뢰를 유도
- 보안 탐지 및 대응 한계
- 이메일 인증 우회로 기존 필터링 기반 솔루션으로는 차단이 어려움
- 감염된 테넌트가 Microsoft 인프라에 존재해 정상 트래픽처럼 보임
- 보안 로그 분석 시 테넌트 이름, 조직 메타데이터, 수신자 설정 등 비정형 요소 중심 분석 필요
- 보안 권고
- *.onmicrosoft.com 도메인 기반 이메일 수신 시 주의 필요
- Microsoft 고객센터 전화번호는 반드시 공식 디렉터리로 검증
- 의심스러운 이메일에 포함된 전화번호로의 직접 통화 금지
- 사용자 대상 피싱 대응 교육 강화 및 의심 징후 대응 프로세스 정비
- 테넌트 기반 감시 및 신규 생성된 테넌트에 대한 모니터링 체계 마련
- 결론
- 신뢰 기반 클라우드 인프라가 공격 벡터로 악용될 수 있다는 점을 입증한 사례
- 기존 보안 장비와 탐지 체계를 우회할 수 있는 진화된 피싱 공격에 대비 필요
- Microsoft 365 환경에 특화된 이메일 보안 솔루션과 사용자 교육이 병행되어야 함
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| VenomRAT 악성코드 유포에 악용된 VHD 이미지 파일 기반 피싱 캠페인 분석 (0) | 2025.05.01 |
|---|---|
| DLL 사이드로딩을 통한 악성 Python 코드 실행 공격 분석 (0) | 2025.05.01 |
| BADBOX 2.0 봇넷. 광고 사기와 프록시 악용을 위한 100만대 안드로이드 감염 캠페인 분석 (0) | 2025.05.01 |
| StilachiRAT, 자격 증명 및 암호화 지갑 탈취 노린 고도화된 원격제어 악성코드 분석 (0) | 2025.05.01 |
| 개인정보위, 전 분야 마이데이터 제도 전면 시행, 의료·통신 정보 내 손안에 (1) | 2025.04.22 |