Home > 전체기사
마이크로소프트 팀즈 크리덴셜 노리는 피싱 공격 극성
  |  입력 : 2020-05-04 09:42
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
줌 크리덴셜 훔쳐서 다크웹에 팔던 공격자들, 이제 MS 팀즈로 시선 옮겨
동료가 보낸 것 같은 메일, MS의 공식 알림 메일, 파일 대기 중...각종 테마 사용


[보안뉴스 문가용 기자] 공격자들이 원격 근무자들을 노리고 인기 높은 협업 플랫폼인 마이크로소프트 팀즈(Microsoft Teams)에서 자동 발송된 알림 메일을 가짜로 만들어 보내기 시작했다. 크리덴셜을 훔쳐가는 것이 최종 목적이다.

[이미지 = iclickart]


보안 업체 앱노멀 시큐리티(Abnormal Security)에 의하면 이 가짜 이메일들은 진짜와 거의 똑같이 생겼으며, 실제 팀즈의 웹 페이지와 똑같이 생긴 랜딩 페이지로 연결되는 링크를 포함하고 있다고 한다. “마이크로소프트의 실제 공식 알림 이메일에서 볼 수 있는 이미지들이 여러 개 복제되어 있기도 합니다.”

앱노멀 시큐리티 측은 “저희 고객들에게 이러한 메일들이 다수 발송되고 있는 걸 발견했다”며 “주로 에너지, 도소매, 환대 산업에서 이런 공격이 벌어지고 있는 것으로 보인다”고 밝혔다. 사이버 보안 전략 부문 부회장인 켄 리아오(Ken Liao)는 “특정 인물이나 기업을 겨냥한 표적 공격은 아니며 따라서 누구라도 공격에 노출될 수 있다”고 부연했다.

공격자들은 다수의 URL을 우회하도록 링크를 설계해 악성 링크 탐지 도구들의 감시를 피하려 했다. 즉, 실제 크리덴셜 탈취가 일어나는 페이지에 도달하려면 여러 개의 URL을 먼저 거치도록 만든 것이다. 이런 식의 공격 캠페인이 최소 두 개가 진행되고 있다고 앱노멀 시큐리티 측은 보고 있다.

팀즈의 공식 알림 메일을 위장한 것 외에도 회사 동료가 “팀즈로 연락할게”라는 식으로 재택 근무자에게 이메일을 보낸 사례도 있었다. 팀즈에서 파일 다운로드가 대기 중이라는 메시지가 담긴 가짜 메일이 발견되기도 했다. 리아오는 “이메일 꼬리말에는 마이크로소프트 팀즈 애플리케이션을 다운로드 받게 해주는 진짜 링크가 달려 있기도 했다”며 “따라서 진짜와 가짜의 구분이 힘들 수 있다”고 설명했다.

이메일 마케팅 기업이 사용하는 사이트에 악성 문서를 호스팅 하고, 그에 대한 링크를 피싱 이메일에 삽입하는 유형의 공격도 존재한다. 이 문서를 열면 팀즈에 로그인 하라는 이미지가 나타난다. 이 이미지를 클릭하면 마이크로소프트 오피스 로그인 페이지와 똑같이 생긴 랜딩 페이지로 안내된다. 다양한 방식의 크리덴셜 탈취 시도가 이어지고 있는 것이다.

앱노멀 시큐리티는 “마이크로소프트 팀즈는 마이크로소프트 오피스 365와도 연결이 되어 있다”며 “크리덴셜을 탈취한 공격자들이라면, 마이크로소프트 오피스 365에도 접속함으로써 팀즈라는 플랫폼에서 유통되는 것 이상의 정보를 가져갈 수 있다”고 경고했다.

앱노멀 시큐리티가 발견한 두 가지 캠페인의 배후 세력은 서로 다른 것으로 보인다고 리아오는 말한다. “두 캠페인에서 발견되는 콘텐츠와 최종 페이로드의 배포 전략이 상이합니다. 게다가 두 캠페인 사이에 2주라는 시간 차이가 존재하기도 하지요. 발송자 정보도 다르고요. 전혀 같은 세력의 소행이라고 보이지 않습니다.”

마이크로소프트 팀즈의 크리덴셜을 노리는 이러한 피싱 공격은, 코로나 사태를 악용한 사이버 공격의 최신판이라고 볼 수 있다. 사회적 거리두기와 재택 근무가 활성화 되기 시작하면서 각종 애플리케이션과 플랫폼의 크리덴셜을 노리는 사례가 많아졌고, 특히 줌(Zoom)에서 이러한 시도가 자주 발견됐다. 줌의 크리덴셜은 다크웹에서 거래되고 있기도 하다. 그러면서 보안 전문가들은 다른 협업 플랫폼에서도 비슷한 일이 일어날 것이라고 예고하기도 했었다.

얼마 전 팀즈에서는 위험한 취약점이 발견되기도 했었다. 공격자들이 악성 GIF 파일을 통해 시스템을 침해하게 해주는 취약점으로, 지난 주 본지가 보도(https://www.boannews.com/media/view.asp?idx=87877&page=1&kind=1)한 바 있다. 이 취약점에 대한 패치가 진행되었으므로 팀즈를 사용하는 조직들은 이를 참조하는 것이 안전하다.

3줄 요약
1. 마이크로소프트 팀즈의 크리덴셜을 노리는 피싱 공격 이어지고 있음.
2. 크게 두 가지 캠페인이 있는데, 각기 다른 공격자들의 소행으로 보임.
3. 팀즈 크리덴셜은 오피스 365와도 연결이 되므로 특히 위험함.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)