New Morphing Meerkat Phishing Kit Mimics 114 Brands Using Victims’ DNS Email Records
- 공격 개요
- Morphing Meerkat은 피싱 서비스형 플랫폼(PhaaS)으로, DNS 메일 교환(MX) 레코드를 활용해 맞춤형 피싱 페이지를 제공
- 약 114개 브랜드를 모방하며, 피해자의 이메일 서비스 제공자에 따라 다르게 변형되는 동적 피싱 페이지를 제공
- 기술적 공격 방식
- 피해자의 이메일 MX 레코드를 조회하여 Gmail, Outlook, Yahoo 등 정확한 이메일 서비스 로그인 페이지를 위장
- MX 레코드 분석은 Cloudflare 또는 Google Public DNS를 통해 수행
- MX 레코드 판별 실패 시 기본 Roundcube 페이지를 표시
- 피싱 페이지는 Cloudflare R2를 통해 호스팅되고, 자격 증명은 Telegram 등으로 전송
- 우회 기법으로는 Google DoubleClick 등 광고 플랫폼의 오픈 리디렉트 취약점, 워드프레스 사이트 탈취 등이 활용됨
- 피해자의 이메일 MX 레코드를 조회하여 Gmail, Outlook, Yahoo 등 정확한 이메일 서비스 로그인 페이지를 위장
- 탐지 회피 및 확산 수법
- 코드 난독화 및 inflate 기법 사용으로 분석 방해
- 우클릭 금지, Ctrl+U, Ctrl+S 단축키 차단 등 수동 분석 차단 기능 포함
- 스팸 이메일을 통해 다국어 대상 공격 수행: 영어, 한국어, 일본어, 중국어, 러시아어, 독일어, 스페인어 등 지원
- 이메일 내용과 피싱 랜딩 페이지 디자인을 일관되게 구성해 자연스러운 사용자 경험으로 신뢰 유도
- 사례 및 피해 확산
- 2024년 7월 Forcepoint 보고서에서 해당 PhaaS 활용 사례 최초 확인
- 피싱 이메일은 공유 문서 링크로 위장되어 있으며 클릭 시 Cloudflare R2에 호스팅된 가짜 로그인 페이지로 연결
- 수천 건 이상의 스팸 이메일 발송 확인
- 보안권고
- 기업 이메일 보안 솔루션에 오픈 리디렉트 필터링 기능 강화 필요
- DNS 쿼리 기반 피싱 탐지 기술 도입 검토: MX 기반 위조 감지
- 이메일 사용자 대상 다국어 피싱 교육 및 인식 제고 활동 강화
- 브라우저에서 비정상 행동(Ctrl+S/U 금지 등)을 탐지하는 프록시 기반 사용자 행위 모니터링 도입 검토
- 공격자 통신 채널(Telegram 등) 차단 및 피싱 도메인 IOC 공유 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| FamousSparrow APT 그룹, 호텔 및 엔지니어링 기업 대상 커스텀 백도어 캠페인 재개 (0) | 2025.05.08 |
|---|---|
| 15만 개 웹사이트 감염…중국계 도박 플랫폼 홍보 자바스크립트 공격 캠페인 분석 (1) | 2025.05.08 |
| 2025년 해커들이 악용 중인 Top 3 MS Office 익스플로잇 분석 (0) | 2025.05.08 |
| 바이브 코딩과 클로드 코드: 생성형 AI가 바꾸는 차세대 개발 패러다임 (0) | 2025.05.08 |
| 민감정보와 고유식별정보의 개념과 처리 시 주의사항 (2025년 기준) (0) | 2025.05.08 |