Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향이메일 게이트웨이 우회 피싱 공격에 대한 Microsoft의 경고
작성일 2021-03-24 조회 63

스푸핑 된 이메일

 

 

 

작년 12월부터 약 40만개의 OWA(Outlook Web Access) 및 Office 365의 credential 정보들을 탈취하고 있는 피싱공격이 현재 보안 이메일 게이트웨이(Security Email Gateways, SEGs)를 우회하는 새로운 합법 서비스를 악용하는 형태로 공격이 확장되고 있다.

 

이 공격은 2020년 초에 WMC Global Threat Intelligence Team에서 발견되어 'Compact' 공격이라고 불리는 여러 피싱 공격들 중 하나다. "공격자는 이메일 마케팅 서비스와 관련된 손상된 계정을 사용할 방법을 찾고 있습니다. 이 계정을 통해 합법적인 IP 대역과 도메인으로부터 악성 이메일을 보낼 수 있습니다. " Microsoft사 보안 팀은 말했다."그들은 이메일 솔루션이 피싱을 탐지한 경우, 이메일 전달을 보장하는 구성 설정을 활용합니다."

 

WMC에 따르면, 작년 12월 부터 피싱 공격의 배후자들은 40만개가 넘는 offect 365 와 OWA의 credential 정보들은 탈취해왔다 그들의 피싱 이메일들은 주로 화상 회의 서비스, 보안 솔루션 및 생산성 도구에 대한 알림으로 위장된다. "지난 12월, 한 웹 페이지가 Outlook Web App을 가장하여 희생자의 credential 정보를 입력하도록 했습니다." 라고 WMC는 말했다. "올해 1월에는 공격자가 직원들의 credential 정보들을 수집 가능성을 높이기 위해 Office 365의 페이지를 모방하는 페이지를 이용했습니다."

 

공격자는 또한 이메일 게이트웨이가 허용한 신뢰성 도메인 리스트를 이용하여 SendGrid와 MailGun 와 같은 이메일 전송 서비스의 손상된 계정을 악용한다. 이를 통해 피싱 메시지들이 이메일 게이트웨이를 우회하여 표적의 메일 박스까지 전송되게 된다. 이 피싱 메시지는 Microsoft의 가짜 로그인 페이지와 같은 피싱 페이지로 이어진다.

 

설상가상으로 이 피싱 공격은 현재 공격 범위가 확장되고 있다. Amazon Simple Email Service(SES)를 악용하고 Appspot 클라우드 컴퓨팅 플랫폼을 악용하여 피싱 이메일을 전송하는 방식으로 여러 피싱 URL을 생성하고 있다. Microsoft와 WMC Global은 이러한 피싱 공격을 탐지하는 즉시 해당 도메인과 계정을 삭제하고 있다. "신고된 URL의 악성 유무를 확인하고 공유된 인텔리전스를 이용하여 Appspot에서 공격으로 확인되는 프로젝트를 찾아 중단 시키는 등, 우리는 Appspot과 여러 조사 결과를 공유 했습니다." Microsoft는 말을 더했다.

 

이번 공격이 손상된 이메일 마케팅 계정을 사용하기 때문에, 우리는 여러 조직들에게 그들의 메일 흐름 정책을 검토할 것은 권고합니다." 라고 Microsoft는 조언했다.

 

 

출처

https://www.bleepingcomputer.com/news/security/microsoft-warns-of-phishing-attacks-bypassing-email-gateways/

첨부파일 첨부파일이 없습니다.
태그 Microsoft  SEGs