Kant's IT/Issue on IT&Security

Morphing Meerkat 피싱 키트: 114개 브랜드를 모방하는 신종 PhaaS 위협 분석

Kant Jo 2025. 5. 8. 13:31

New Morphing Meerkat Phishing Kit Mimics 114 Brands Using Victims’ DNS Email Records

 

  • 공격 개요
    • Morphing Meerkat은 피싱 서비스형 플랫폼(PhaaS)으로, DNS 메일 교환(MX) 레코드를 활용해 맞춤형 피싱 페이지를 제공
    • 약 114개 브랜드를 모방하며, 피해자의 이메일 서비스 제공자에 따라 다르게 변형되는 동적 피싱 페이지를 제공
  • 기술적 공격 방식
    • 피해자의 이메일 MX 레코드를 조회하여 Gmail, Outlook, Yahoo 등 정확한 이메일 서비스 로그인 페이지를 위장
      • MX 레코드 분석은 Cloudflare 또는 Google Public DNS를 통해 수행
      • MX 레코드 판별 실패 시 기본 Roundcube 페이지를 표시
    • 피싱 페이지는 Cloudflare R2를 통해 호스팅되고, 자격 증명은 Telegram 등으로 전송
    • 우회 기법으로는 Google DoubleClick 등 광고 플랫폼의 오픈 리디렉트 취약점, 워드프레스 사이트 탈취 등이 활용됨
  • 탐지 회피 및 확산 수법
    • 코드 난독화 및 inflate 기법 사용으로 분석 방해
    • 우클릭 금지, Ctrl+U, Ctrl+S 단축키 차단 등 수동 분석 차단 기능 포함
    • 스팸 이메일을 통해 다국어 대상 공격 수행: 영어, 한국어, 일본어, 중국어, 러시아어, 독일어, 스페인어 등 지원
    • 이메일 내용과 피싱 랜딩 페이지 디자인을 일관되게 구성해 자연스러운 사용자 경험으로 신뢰 유도
  • 사례 및 피해 확산
    • 2024년 7월 Forcepoint 보고서에서 해당 PhaaS 활용 사례 최초 확인
    • 피싱 이메일은 공유 문서 링크로 위장되어 있으며 클릭 시 Cloudflare R2에 호스팅된 가짜 로그인 페이지로 연결
    • 수천 건 이상의 스팸 이메일 발송 확인
  • 보안권고
    • 기업 이메일 보안 솔루션에 오픈 리디렉트 필터링 기능 강화 필요
    • DNS 쿼리 기반 피싱 탐지 기술 도입 검토: MX 기반 위조 감지
    • 이메일 사용자 대상 다국어 피싱 교육 및 인식 제고 활동 강화
    • 브라우저에서 비정상 행동(Ctrl+S/U 금지 등)을 탐지하는 프록시 기반 사용자 행위 모니터링 도입 검토
    • 공격자 통신 채널(Telegram 등) 차단 및 피싱 도메인 IOC 공유 필요