훔친 크리덴셜, 오피스 365 통해 실시간으로 확인하는 공격자들

오피스 365 API를 발동시켜 애저 액티브 디렉토리 서비스와 훔친 크리덴셜을 대조
실시간 대조로 유효성 확인될 경우 방어자보다 훨씬 빠르게 다음 공격 이어갈 수 있어

[보안뉴스 문가용 기자] 사이버 공격자들의 창의력이 다시 한 번 빛을 발했다. 대부분의 사람들이 오피스 365를 문서 만들기에 활용하고 있을 때, 해커들은 자신들이 훔친 크리덴셜의 유효성을 실시간으로 확인하는 데 쓰고 있었기 때문이다. 보안 업체 아머블록스(Armorblox)가 이러한 기발한 공격 방식에 대해 상세한 보고서를 발표했다.

[이미지 = utoimage]

이러한 새로운 유형의 공격은 미국 50대 기업 중 하나를 이끌고 있는 간부 한 명을 겨냥한 스피어피싱 형태로 제일 먼저 발견됐다. 공격은 다음과 같은 원리로 구성되어 있다.
1) 공격자가 아마존 심플 이메일 서비스(Amazon Simple Email Service)를 사용해 피싱 이메일을 만든다.
2) 이 피싱 이메일은 유명 서비스를 사용되어 만들어졌기 때문에 DKIM과 SPF 확인 과정을 통과할 수 있다.
3) 이 이메일에는 가짜 출금 보고서처럼 보이는 보고서가 첨부되어 있다.
4) 이 첨부 파일을 열 경우, 오피스 365 로그인 페이지와 똑같이 생긴 페이지가 뜬다.
5) 그런데 이 페이지에는 피해자의 이메일 주소가 이미 입력되어 있다.
6) 민감한 정보를 열람하려고 하는 것이니 비밀번호를 한 번 더 입력해야 한다는 메시지를 통해 피해자를 설득하려 한다.

여기까지는 어느 정도 ‘전형적인’ 패턴을 보인다. 하지만 그 다음부터 조금 달라진다.
7) 피해자가 속아서 가짜 로그인 페이지에 비밀번호를 입력한다.
8) 이 과정을 통해 오피스 365 API가 호출된다.
9) 호출된 API를 통해, 방금 입력된 비밀번호가 피해자 조직의 애저 액티브 디렉토리(Azure Active Directory)에도 있는지 대조해가며 찾는다. 즉 비교 확인을 하는 것이다.
10) 그럼으로써 실시간 비밀번호 유효성이 확인된다.

아머블록스는 블로그를 통해 “공격을 진행하는 것과 동시에 자신들의 성과를 확인할 수 있는 아주 똑똑한 방식”이라고 설명했다. “공격을 하면서 실시간으로 크리덴셜을 확인할 수 있으니 미리 계정에 침투해 손을 쓸 수 있습니다. 피해자가 이상한 점을 눈치 채고 대책을 마련하기 전에 공격의 발판이 마련될 수 있는 것이죠.”

10)번 단계에서 무사히(?) 확인이 완료됐다면 피해자는 zoom.com으로 연결된다. 아마도 피해자가 이상하다는 생각을 하지 못하게 하려는 시도로 보인다는 게 아모블록스의 추측이다. 인증이 실패할 경우 피해자는 login.microsoftonline.com으로 연결된다. 역시나 피싱 공격의 의도를 감추기 위한 움직임으로 보인다.

“또 하나 재미있는 건, 공격용으로 호스팅한 웹사이트에서의 활동이 극히 저조하다는 겁니다. 게다가 공격의 시간(이메일 발송 시간)이 금요일 저녁이었어요. 소수만을 노린 조심스런 표적형 공격이었음을 시사합니다. 6월 초부터 현재까지 공격용 웹사이트에 방문한 사람은 전 세계적으로 120명 정도 될까 말까 한 것으로 보입니다. 이 역시 표적형 공격에 가까운 수치입니다.”

아머블록스는 “오피스 365라는 생태계를 해커들이 점점 창의적으로 악용하기 시작하는데, 이번에 발견된 공격 기법 역시 그러한 맥락에서 연구할 가치가 있다”고 설명한다. “예를 들어 7월 말 경 앱노멀 시큐리티(Abnormal Security)에서는 오피스 365 크리덴셜을 훔치기 위해 자동화 기술로 작성된 셰어포인트(Sharepoint) 메시지들이 살포되는 것을 발견했었습니다. 8월 초에는 트렌드 마이크로(Trend Micro)가 오피스 365 계정을 노리는 BEC 공격을 찾아냈고요. 가짜 마이크로소프트 로그인 페이지가 9500개 발견되기도 했었지요.”

지난 8월에 가상의 형태로 열린 블랙햇(Black Hat) 행사에서 보안 전문가 조시 메들리(Josh Madeley)와 더그 비엔스톡(Doug Bienstock)은 다양한 오피스 365 공격 전략과 방법들을 공개한 바 있다. 그들은 강연을 통해 “현재 사이버 공격자들은 오피스 365 연구에 매진하고 있다”고 밝히며, “사용자 기업들의 오피스 365 활용도가 높아지고 있기 때문”이라고 설명했었다. 심지어 이번에 발견된 애저 액티브 디렉토리를 통한 공격 역시 살짝 예견된 바 있었다.

당시 메들리는 “애저 액티브 디렉토리는 현재 대부분의 오피스 365 사용자 기업들 내에서 직원 인증 매체로 활용되는 게 현실”이라며 “공격자가 이 부분을 간파하고 악용할 경우 유용한 공격 통로가 될 수 있다”고 말했었다.

3줄 요약
1. 오피스 365 생태계에 대한 이해도가 점점 올라가는 공격자들.
2. 최근 인증 장치로 활용되는 애저 액티브 디렉토리와 오피스 365 API 결합한 ‘실시간 확인’ 공격 진행되고 있었음.
3. 오피스 365, 앞으로 살벌한 사이버 공방 전쟁터 될 것으로 보임.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)