유럽의 기업들 노리는 피싱 캠페인, 허브스팟과 도큐사인 악용해
유럽의 기업들 노리는 피싱 캠페인, 허브스팟과 도큐사인 악용해
최근 유럽의 기업들을 겨냥한 교묘한 피싱 캠페인이 발견됐다. 공격자들의 궁극적인 목표는 마이크로소프트 애저 계정의 크리덴셜을 탈취한 뒤, 이를 바탕으로 피해자의 클라우드 인프라를 장
www.boannews.com
- 공격 개요
- 유럽 기업을 대상으로 허브스팟과 도큐사인 서비스를 악용한 피싱 캠페인 발견
- 목표: 마이크로소프트 애저(Microsoft Azure) 계정 크리덴셜 탈취 및 클라우드 인프라 장악
- 약 2만 명의 유럽 기업 사용자가 피해를 입은 것으로 추정
- 공격 방법
- 허브스팟 프리폼빌더(HubSpot Free Form Builder)를 활용해 악성 링크 생성
- 피싱 이메일에 도큐사인 기반 PDF 파일 첨부 또는 악성 허브스팟 양식 링크 삽입
- 사용자가 PDF 파일을 열거나 링크를 클릭 시 허브스팟 양식 페이지로 리디렉션
- 가짜 "마이크로소프트 보안 클라우드에서 문서 보기" 버튼 포함
- 버튼 클릭 시, 마이크로소프트 애저 로그인 페이지로 위장한 피싱 페이지로 우회
- 주요 표적
- 자동차, 화학, 산업 화합물 제조업 등 유럽의 주요 산업군
- 기업 브랜드 및 이메일 주소 형식을 악용해 표적 기업의 신뢰 유도
- PDF 문서명에 해당 기업 이름 사용("회사이름.pdf")
- 피싱 이메일의 특징
- 긴박한 어조
- "즉시 조치 필요" 등 다급한 문구 사용
- 사용자의 판단력을 흐리게 해 빠르게 행동하도록 유도
- 인증 확인 실패
- 이메일 인증 프로토콜(SPF, DKIM, DMARC)에서 오류 메시지 표시
- SPF: 발신자 IP가 이메일 송신 권한 없음
- DKIM: 디지털 서명 확인 실패로 이메일 변조 가능성
- DMARC: 도메인 인증 문제로 임시 오류 발생
- 긴박한 어조
- 피해 식별 및 대응
- 피싱 이메일 식별
- 다급한 행동 요청
- 인증 프로토콜 오류(SPF, DKIM, DMARC) 메시지
- 기업 및 사용자 권고
- 이메일 링크와 첨부 파일 클릭 전 확인 철저
- 다단계 인증(MFA) 활성화로 추가 보호
- 클라우드 계정 비밀번호 즉시 변경
- 허브스팟 및 도큐사인의 입장
- 허브스팟: "인프라 침해 없었음."
- 도큐사인: "가짜 도큐사인 발송 횟수를 줄이기 위한 조치 진행."
- 피싱 이메일 식별
- 결론
- 공격자는 신뢰받는 비즈니스 솔루션을 악용해 피싱 캠페인의 성공률을 높임
- 사용자와 기업 모두 보안 인식 제고 및 철저한 이메일 검증 필요
- 지속적인 보안 교육과 기술적 보호 대책이 피해 예방의 핵심
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 카카오, ‘2024 그룹 기술윤리 보고서’ 발간: 안전한 AI 사용과 윤리 강화 (0) | 2024.12.30 |
|---|---|
| 러시아, 카카오톡에 정보 제공 의무 부과…보안국 감시 목적 (0) | 2024.12.30 |
| LNK 파일 분석의 중요성과 활용 방안: ‘Using Every Part of the Buffalo’ (0) | 2024.12.30 |
| 금융권 망분리 규제 개선과 생성형 AI 도입 (1) | 2024.12.30 |
| AI 시대의 사이버 보안 위협과 대응 방안 (3) | 2024.12.30 |