- 온라인 안전은 상대적일 뿐이며 많은 보안 전문가의 눈에는 환상입니다.
- 사이버 보안 회사 Zscaler는 새로운 AiTM 피싱 캠페인의 표지를 벗겨냈습니다.
- 대상은 Microsoft Mail 사용자이며 작동 방식을 보여드리겠습니다.
아무도 공격자와 그들이 현재 사용하는 방법으로부터 안전하지 않으므로 이 기사에서 우리가 작성하려고 하는 내용을 매우 주의 깊게 읽으십시오.
좀 더 구체적으로 말하면 Microsoft 이메일 서비스 사용자는 정말 주의해야 합니다. 지스케일러, 사이버 보안 연구 회사는 Microsoft 이메일 사용자를 대상으로 진행 중인 새로운 피싱 캠페인을 발견했습니다.
두렵지 않지만 회사에 따르면 기업 사용자가 공격을 받고 있으며 캠페인이 다단계 인증을 우회하기 위해 AiTM(adversary-in-the-middle) 기술을 사용하여 실행되고 있습니다.
피싱 캠페인은 AiTM 방법을 사용하여 자격 증명을 도용합니다.
Redmond 기술 대기업조차도 7월에 이 문제를 인정했습니다. 블로그 게시물 임박한 위험에 대해 사용자에게 경고하기 위한 것입니다.
속도를 높이기 위해 이 AiTM 기술은 공격자를 중간에 배치하여 클라이언트와 서버 간의 인증 프로세스를 가로챕니다.
말할 필요도 없이 이 교환 동안 모든 자격 증명이 사라진 것처럼 악의적인 제3자가 결과적으로 자격 증명을 갖게 됩니다.
그리고 예상대로 MFA 정보가 도난당했다는 의미이기도 합니다. 따라서 중간에 있는 공격자는 실제 클라이언트에 대한 서버, 실제 서버에 대한 클라이언트 역할을 합니다.
| 공격자가 등록한 도메인 이름 | 합법적인 연방 신용 조합 도메인 이름 |
| crossvalleyfcv[.]org | crossvalleyfcu[.]org |
| triboro-fcv[.]org | triboro-fcu[.]org |
| cityfederalcv[.]com | cityfederalcu[.]com |
| portconnfcuu[.]com | portconnfcu[.]com |
| oufcv[.]com | oufcu[.]com |
보안 전문가가 설명했듯이 이 캠페인은 Microsoft의 이메일 서비스를 사용하는 기업의 최종 사용자에게 다가가기 위해 특별히 고안되었습니다.
비즈니스 이메일 손상(BEC)은 조직에 항상 존재하는 위협이며 이 캠페인은 이러한 공격으로부터 보호해야 할 필요성을 더욱 강조합니다.
다음은 당면한 위협을 분석한 결과 사이버 보안 전문가가 요약한 몇 가지 핵심 사항입니다.
- Microsoft 이메일 서비스의 기업 사용자는 이 대규모 피싱 캠페인의 주요 대상입니다.
- 이러한 모든 피싱 공격은 악성 링크가 포함된 이메일이 피해자에게 전송되는 것으로 시작됩니다.
- 캠페인은 블로그 게시 시점에 활성화되었으며 위협 행위자는 거의 매일 새로운 피싱 도메인을 등록합니다.
- 어떤 경우에는 경영진의 비즈니스 이메일이 이 피싱 공격을 통해 손상되었고 나중에 동일한 캠페인의 일부로 추가 피싱 이메일을 보내는 데 사용되었습니다.
- 미국, 영국, 뉴질랜드 및 호주와 같은 지역의 핀테크, 대출, 보험, 에너지 및 제조와 같은 주요 산업 분야 중 일부가 대상입니다.
- 이러한 공격에는 MFA(다단계 인증)를 우회할 수 있는 사용자 지정 프록시 기반 피싱 키트가 사용됩니다.
- 위협 행위자는 다양한 클로킹 및 브라우저 지문 기술을 활용하여 자동화된 URL 분석 시스템을 우회합니다.
- 기업 이메일 URL 분석 솔루션을 회피하기 위해 수많은 URL 리디렉션 방법이 사용됩니다.
- CodeSandbox 및 Glitch와 같은 합법적인 온라인 코드 편집 서비스는 캠페인의 유효 기간을 늘리기 위해 남용됩니다.
Federal Credit Union 테마를 사용하여 원본 이메일을 분석한 결과 흥미로운 패턴이 관찰되었습니다. 이 이메일은 각 연방 신용 조합 조직의 최고 경영자 이메일 주소에서 시작되었습니다.
공격자가 등록한 도메인 중 일부가 미국의 합법적인 연방 신용 조합의 오타 제곱 버전이라는 점도 언급하겠습니다.
오늘날 온라인 안전과 전체 작업을 손상시키는 것 사이의 경계가 너무 가늘어 이를 보려면 원자 현미경이 필요합니다.
이것이 우리가 항상 안전을 설교하는 이유입니다.
- 임의의 안전하지 않은 소스에서 아무 것도 다운로드하지 마십시오.
- 자격 증명이나 기타 민감한 정보를 누구에게도 공개하지 마십시오.
- 신뢰할 수 없는 사람이 PC를 사용하지 못하게 하십시오.
- 신뢰할 수 없는 출처에서 보낸 이메일로 받은 링크를 열지 마십시오.
- 항상 바이러스 백신 소프트웨어.
이 끊임없이 변화하는 온라인 정글에서 안전을 유지하는 것은 모두 귀하에게 달려 있으므로 재난을 피하기 위해 필요한 모든 안전 조치를 취하십시오.
최근에 그러한 이메일을 받은 적이 있습니까? 아래 의견 섹션에서 경험을 공유하십시오.
