Home > 전체기사
박스, 원드라이브, MS 오피스 365 활용한 피싱 캠페인 발견돼
  |  입력 : 2020-08-26 16:27
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
박스의 정상 웹 페이지에 호스팅 된 피싱 페이지...원드라이브까지 언급
모든 과정 중에 여러 브랜드 언급하면서 안전 강조...과도한 느낌, 충분히 수상


[보안뉴스 문가용 기자] 클라우드 서비스인 박스(Box)의 웹 페이지를 활용한 새로운 피싱 캠페인이 발견됐다. 이 피싱 공격자들은 현재 마이크로소프트 365에 대한 소비자들의 높은 신뢰를 악용하고 있다고 하며, 크리덴셜을 훔쳐가는 걸 최종 목적으로 하고 있다고 한다.

[이미지 = utoimage]


보안 업체 아머블록스(Armorblox)는 지난 6월에 이 공격을 처음 발견했다. 또한 해당 공격이 정부 기관과 사이버 보안 조직들을 주로 노린다는 것도 알아냈다. 공격자들이 피싱 사이트를 호스팅한 건 정상적인 박스 웹 페이지라 보안 장치를 우회하거나 피해자들을 속이는 게 가능했다고 한다.

공격자들은 서드파티 벤더를 사칭해 ‘민감한 금융 정보를 담고 있는 문서’를 미끼로 피해자들에게 던지고 있다. 공격자들은 메시지에 ‘10일 내에 답장을 보내야 한다’는 식으로 피해자들의 마음을 급하게 만들고 있기도 하다. 또한 SecureOnlineDocs.com이라는 정상 웹사이트에 대한 정보를 삽입함으로써 메일이 좀 더 진짜처럼 보이게 만들었다.

피해자가 이에 속아 첨부파일을 열거나 링크를 누르면 박스라는 클라우드 서비스에 호스팅 되어 있는 페이지로 접속된다. 이 페이지에도 원드라이브(OneDrive)에 연결된 것처럼 보이는 또 다른 문서도 호스팅 되어 있는데, 피해자가 이 문서에 접근할 경우 최종 피싱 페이지에 접속된다. 이 피싱 페이지는 오피스 365 로그인 포털처럼 보인다.

아머블록스의 아르준 삼바무어티(Arjun Sambamoorthy)는 “로그인 페이지처럼 보이는 화면을 노출시키고 기업용 로그인 크리덴셜을 입력하라는 안내를 띄운다”며 “공격자들은 이 모든 과정이 진짜인 것처럼 보이게 하려고 온갖 장치들을 첨부했다”고 경고한다. “이메일의 보내는 사람의 이름과 도메인 모두 실제 합법적인 서드파티의 것입니다. 도메인은 tidewaterhomefunding.com으로, 버지니아에 있는 대출 업체입니다. 공격자들이 이 회사의 직원용 크리덴셜을 훔쳐낸 것이 아닐까 의심됩니다.”

또한 피싱 페이지를 박스의 웹사이트에 호스팅 시킴으로서 공격자들은 이메일 보안 필터들을 피해갈 수도 있었다. “박스에 호스팅 된 웹사이트라면 보안 솔루션들이 대부분 경보를 울리지 않습니다. 이런 식으로 유명 브랜드를 활용한 피싱 공격은 단순하면서도 유용합니다. 드롭박스, 오피스 365, 구글 드라이브 등을 활용한 피싱 공격이 유행하는 이유기도 하죠.” 아머블록스의 설명이다.

그러나 자세히 살펴보면 어디 한 군데는 이상한 점이 분명히 존재한다고 보안 전문가들은 말한다. 이번 공격의 경우 박스 서비스에 호스팅 된 문서인데, 원드라이브라는 또 다른 클라우드 드라이브에도 공유되어 있다고 하고, 마이크로소프트 365까지 동원하고 있으며, ‘Secured by OneDrive’, ‘OneDrive for Business’, ‘Powered by Office 365’라는 문구가 계속 등장하는데. 조금 과도하다고 아머블록스는 설명한다.

“왜 굳이 박스 서비스에 접속해 원드라이브에 자료를 호스팅할까요? 계속해서 브랜드가 강조되는 문구가 나오는 것도 수상하고요. 잠깐만 생각해도 이런 점들은 어색하고 이상하다는 걸 느낄 수 있습니다.”

아머블록스는 이러한 캠페인을 처음 발견하고 피싱에 연루된 여러 도메인들을 안티피싱워킹그룹(Anti-Phishing Working Group, APWG)에 알렸다. APWG는 크리덴셜을 수집하는 사이트들을 조사해 목록을 만드는 단체다. 이 도메인과 사이트들은 구글의 세이프 브라우저 목록에도 추가됐다. 따라서 주요 브라우저로 해당 도메인에 접속하면 경고 메시지가 뜬다. 공격자들이 이름을 사칭한 기업들에도 이 사실을 알렸다.

삼바무어티는 “웹사이트가 조금 이상한 경로로 우회되어 접속되는 경우에 주의해야 한다”고 경고한다. “예를 들어 박스 사이트로 들어갔는데, 마이크로소프트의 크리덴셜을 입력하라고 요구한다면 논리적으로 이상하죠. 박스가 원드라이브라는 서비스를 이용해 문서를 호스팅하는 것도 그렇고요. 이런 연결고리들을 정신 차리고 따라가는 것이 중요합니다.”

3줄 요약
1. 새로운 피싱 공격, 박스와 원드라이브, 오피스 등 유명 브랜드 죄다 이용.
2. 유명 브랜드 사용하면 주의하지 않고 클릭하는 사용자들 공략하기 좋음.
3. 게다가 보안 장치들도 유명 브랜드에 대해서는 너그러운 경우가 많음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)