Home > 전체기사
MS, 오피스 365 사용자 보호하기 위해 악성 도메인 무력화시켜
  |  입력 : 2020-07-08 12:38
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
코로나를 미끼로 삼은 사이버 공격 중 오피스 365 계정 노린 것 많아
MS, 법원으로부터 허락 받아 일부 악성 도메인 압수...공격 인프라 무력화 성공


[보안뉴스 문가용 기자] 마이크로소프트가 코로나를 미끼로 한 사이버 공격에 사용되는 도메인을 무력화시키는 데 성공했다. 이는 지난 몇 달 동안 MS 오피스 365 사용자들을 노린 공격이 지속적으로 증가한 데 따른 조치이며, 미국 사법부의 허락을 받고 진행한 일이기도 하다.

[이미지 = utoimage]


마이크로소프트의 부회장인 톰 버트(Tom Burt)는 “최근 62개국에 분포되어 있는 MS 고객들을 노린 일종의 사기 공격의 인프라가 무력화됐다”고 발표하며 “일종의 BEC 공격과 비슷한 악성 행위였다”고 설명했다.

MS가 말하는 공격이 시작된 건 2019년 12월의 일이었다. 피해자들이 잘 아는 사람이나 직장 상사가 보낸 것처럼 보이는 피싱 이메일이 대량 등장했다. 피해자들은 주로 사업 경영자들로, 메일에는 평범한 사무 내용이 담겨 있었다. 그러나 악성 링크가 하나 있었고, 피해자가 이를 클릭하면 여러 악성 행위가 발동됐으며, 이를 통해 공격자들은 피해자의 권한을 탈취했다.

높은 권한을 취득하는 데 성공한 공격자들은 오피스 365에 접속했다. 따라서 피해자의 이메일, 연락처 정보, 원드라이브 내 데이터 등이 전부 공격자에게로 넘어갔다. “이 공격의 경우 피해자들에게 크리덴셜을 입력하라고 요구하지 않았습니다. 가짜 웹 애플리케이션을 통해 공격자들이 오피스 계정에 접근하도록 허용한 것뿐입니다. 하지만 효과는 비슷했죠.”

마이크로소프트는 “기술적인 방법”을 동원해 이 첫 번째 공격 시도들을 막아내는 데 성공했다고 한다. 하지만 버트넌 이 기술적인 방법에 대해 상세히 공개하지는 않았다. 다만 오피스에 불법적 접근을 하는 데 활용됐던 가짜 웹 애플리케이션을 차단했다고만 밝혔다.

하지만 공격은 이것으로 끝나지 않았다. 웹 애플리케이션이 막히자 공격자들은 코로나를 미끼로 사용하기 시작했다. 그것도 60개국이 넘는 곳의 오피스 365 사용자들에게 대량으로 피싱 메일이 발송됐다. 이 때문에 MS는 기술적 조치 외에 법적 절차를 밟기 시작했다고 한다. 그러면서 “공격자들이 사용하는 인프라를 제거하지 않는 한 비슷한 공격이 모양만 바꾸어 계속해서 일어날 것”이라고 고소장에 쓰기도 했다.

버트는 “그래서 인프라를 구성하고 있는 주요 도메인들을 무력화시켜야 하겠다는 결론에 도달했고, 그래야만 근원적으로 오피스 365 고객들을 보호할 수 있겠다고 법정에서 강력하게 호소했다”고 말한다. 그리고 법정은 MS의 도메인 압수와 무력화를 허락해 주었고, 공격자들의 인프라는 대부분 사라지게 되었다.

MS가 정확히 어느 시점에 악성 도메인을 무력화 했는지, 그 수가 어느 정도나 되는지는 아직 확실치 않다. 고소장에는 여섯 개의 닷컴 도메인이 나오는데 전부 마이크로소프트의 제품과 관련이 있는 이름들이었다. 이 도메인 중 다섯 개를 등록시켜준 회사는 네임칩(Namecheap)이었고, 나머지 하나는 고대디(GoDaddy)를 통해 등록됐다.

마이크로소프트의 오피스365 계정을 노린 공격 중 코로나를 미끼로 삼는 공격은 최근 꽤나 자주 발견되고 또 보고되어 왔다. 코로나 및 관련 키워드를 전면에 내세운 피싱 공격은 코로나 사태가 전 세계적으로 퍼진 직후부터 유행하기 시작했다. 이 때문에 코로나에 관심을 갖고 있는 많은 사람들이 크리덴셜을 빼앗기거나 멀웨어에 감염되었다. 코로나와 관련된 도메인이 지난 수개월 동안만 수천~수만 개 등록되기도 했다.

3줄 요약
1. 코로나 테마로 한 사이버 공격 중 오피스 365 계정 노리는 공격 증가 중.
2. 이에 MS가 직접 나서서 법원에 고소장 제출하고 도메인 압수 허락 받아냄.
3. 때문에 공격 인프라 대부분이 현재는 무력화 된 상태. 상세 내용은 미공개.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)