Storm-1865 그룹의 Booking.com 사칭 피싱 캠페인 분석

Phishing campaign impersonates Booking. com, delivers a suite of credential-stealing malware

 

Microsoft Warns of ClickFix Phishing Campaign Targeting Hospitality Sector via Fake Booking[.]com Emails

 

• 개요
  • Microsoft는 2024년 12월부터 2025년 2월까지 Booking.com을 사칭한 피싱 캠페인을 식별
  • 주요 표적은 북미, 오세아니아, 남/동남아시아, 유럽 전역의 호스피탈리티 산업 종사자
  • 사회공학 기반 기법인 ClickFix를 활용해 사용자가 명령어를 복사·실행하도록 유도
  • 최종적으로 자격 증명을 탈취하는 멀티 악성코드(XWorm, Lumma Stealer 등)를 유포
• 공격 전술 및 ClickFix 기법
  • 이메일 내용은 부정적 리뷰, 예약 요청, 프로모션 안내 등 다양하게 구성
  • 이메일 내 PDF 또는 링크 클릭 시 Booking.com 위장 사이트로 연결
    • 사이트에 가짜 CAPTCHA를 통해 신뢰를 유도
    • 사용자에게 [윈도우 실행창(Run)]을 열고 복사된 명령어 실행을 요구
  • 명령어는 mshta.exe를 통해 악성 페이로드 다운로드 및 실행
• 유포된 악성코드 상세
  • 주요 악성코드 종류
    • XWorm, Lumma Stealer, VenomRAT, AsyncRAT, Danabot, NetSupport RAT
  • 사용된 다운로드 기법
    • PowerShell, JavaScript, PE 포맷 파일, mshta.exe 실행
  • 주요 기능
    • 자격 증명 탈취, 금융정보 수집, 원격 접속, 시스템 감시
• 공격 그룹: Storm-1865
  • Microsoft에서 추적 중인 위협 행위자
  • 2023년: 호텔 고객 대상 피싱 → 결제정보 탈취
  • 2024년: 이커머스 이용자 대상 → 피싱 메시지 통한 사기 결제
  • 2025년: ClickFix 도입을 통해 탐지 우회 및 사용자 조작 유도 전략 고도화
• 보안 권고
  • 사용자 교육
    • 보내는 이메일 주소 확인
    • URL 검증 및 링크 클릭 자제
    • 긴급한 호출(Click now, Open immediately) 주의
    • 문법 오류 또는 도메인 변조(typosquatting) 확인
  • 기술적 대응
    • 전사적 다중 인증(MFA) 적용 및 예외 제거
    • Microsoft Defender for Office 365의 Safe Links 설정 활성화
    • Defender Antivirus 및 SmartScreen 사용
    • 클라우드 기반 보호 및 네트워크 보호 설정
    • 자동화된 탐지/대응(EDR, XDR) 설정
    • Zero-hour auto purge(ZAP) 기능 활성화
  • IoC 기반 사후 탐지/헌팅
    • XWorm, Danabot, Lumma Stealer, AsyncRAT 관련 C2 IP
    • 특정 SHA-256 해시 기반 악성 파일 탐지
    • Defender XDR 및 Microsoft Sentinel 기반 헌팅 쿼리 제공됨
• 결론
  • Storm-1865는 사회공학 기법과 자동화 악성코드 유포 전술을 결합해 표적형 피싱 공격을 정교화
  • ClickFix는 인간의 행동 습관을 악용하는 비정형적인 감염 트리거 수법으로 분석됨
  • 호스피탈리티 산업 종사자나 연계 산업 종사자(예약, 고객응대 부서)는 특히 주의가 필요
  • 피싱 대응 교육과 함께 보안 자동화 체계, 정기적인 IoC 업데이트 및 탐지 쿼리 관리가 중요