Morphing Meerkat 피싱 키트의 DNS MX 레코드 악용 기반 대규모 위협 분석

New Morphing Meerkat Phishing Kit Exploits DNS to Spoof 100+ Brands

 

Morphing Meerkat phishing kits exploit DNS MX records

 

Hackers Exploit DNS MX Records to Create Fake Logins Imitating 100+ Brands

 

• 개요
  • Morphing Meerkat는 최소 2020년부터 운영 중인 피싱-서비스형 플랫폼(PhaaS)으로, DNS MX(Mail Exchange) 레코드를 악용하여 100개 이상의 브랜드를 모방한 피싱 페이지를 동적으로 생성
  • Cloudflare DoH, Google DNS 등을 활용해 피해자의 이메일 서비스 공급자를 식별한 후, 해당 브랜드에 맞는 피싱 템플릿을 로드
• 주요 공격 기법
  • DNS MX 레코드 기반 타겟 맞춤형 피싱 페이지 생성
    • 피해자의 이메일 주소 도메인의 MX 레코드를 조회하여 해당 메일 서버를 기반으로 맞춤형 HTML 피싱 페이지 제공
    • 사용자 브라우저 언어 설정 기반 동적 번역 기능 지원, 최대 14개 언어 이상 대응
  • 오픈 리디렉트(Open Redirect) 악용
    • 특히 Google의 DoubleClick 등 광고 플랫폼의 리디렉트 취약점을 활용해 보안 시스템 우회
    • URL 축약기 및 워드프레스 기반 침해 웹사이트도 링크 유포에 사용
  • 보안 분석 회피 기술
    • 자바스크립트 난독화, 코드 인플레이션(의미 없는 코드 삽입), 마우스 우클릭/키보드 단축키 비활성화
    • 분석가의 접근 차단 및 HTML/JS 코드 노출 방지
  • 피싱 이메일 대량 발송 및 통신 기반
    • iomart(영국), HostPapa(미국) 기반의 중앙 집중식 인프라를 통해 스팸 메일 발송
    • 초기에는 Gmail, Outlook, AOL 등 5개 브랜드 중심이었으나, 2025년 기준 114개 브랜드 이상 템플릿 보유
• 인증정보 수집 및 탈취 방식
  • 수집된 사용자 인증정보는 다양한 경로로 외부 전송
    • EmailJS, PHP 스크립트, AJAX 요청, Telegram API Webhook 활용
  • 피싱 페이지는 “비밀번호 오류” 유도 후 재입력을 통해 다중 수집 시도
  • 사용자를 실제 사이트로 리디렉션하여 의심 회피
• 위협 수준 및 조직에 대한 함의
  • Morphing Meerkat은 조직 내 DNS 보안 사각지대를 체계적으로 악용
    • DoH 기반 통신은 보안 장비의 트래픽 감시를 우회
    • 공용 웹호스팅 및 CDN 기반 악성 콘텐츠 배포로 차단 어려움
  • 피해자는 일반 사용자부터 기업 고위 사용자까지 다양
    • 공격 성공률이 높은 이유는 사용자 환경 기반의 정교한 맞춤형 페이지 제공 때문
• 보안 권고
  • DNS 기반 위협에 대응하기 위해 다음과 같은 보안 강화 필요
    • DNS over HTTPS(DoH) 통신 제어 및 탐지 기능 강화
    • 오픈 리디렉트 취약점 사전 점검 및 폐쇄
    • SIEM 및 NDR 기반 DNS 쿼리 이상 탐지 시나리오 구현
    • 사용자 대상 피싱 교육 시, 브랜드 모방 기반 피싱 페이지 사례 교육 포함
    • 피싱 메일 내 HTML 렌더링 차단 및 링크 미리보기 기능 활성화
  • Morphing Meerkat 유형은 PhaaS 형태로 지속 확산 중이므로, 실시간 IOC 공유 및 국제 보안 협력 필요