Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향피싱을 위해 하이재킹된 Microsoft, Google Clouds
작성일 2021-05-26 조회 48

 

 

공격자들이 2021년 1분기에 Office 365, Azure, OneDrive, SharePoint, G-Suite 및 Firebase 저장소 등을 활용하여 5,200만 개의 악성 메시지를 보낸 것으로 확인되었다.

 

위협 행위자들은 코로나19가 유행하는 동안 클라우드 기반 비즈니스 서비스로 빠르게 전환하는 추세에 탑승해 온라인 메일 피싱 사기를 합법적으로 보이기 위해 Microsoft와 Google의 신뢰할 수 있는 유비쿼터스 서비스들을 이용했다.

 

실제로 2021년 첫 3개월 동안 연구원들이 Microsoft 365에서 보낸 악성 이메일 700만 개와 ​​Google 인프라에서 보낸 4,500만 개의 악성 이메일을 발견했다고 Proofpoint는 보고했으며 사이버 범죄자들이 Office 365, Azure, OneDrive, SharePoint, G를 사용했다고 덧붙였다.

 

보고서는 "신뢰할 수있는 클라우드 서비스에서 악성 메시지의 양은 2020년 그 어떠한 봇넷보다 초과하며 공격에 이용되는 outlook.com 및 sharepoint.com을 포함한 이러한 도메인의 신뢰도는 공격을 방어하는데 도움이 되지 않았습니다."라고 설명했다.

 

“이메일이 최근 랜섬웨어의 상위 벡터로 다시 자리 잡았기 때문에 이러한 진위 인식은 필수적입니다. 그리고 위협 행위자들은 점점 더 공급망과 파트너 생태계를 활용하여 계정을 탈취하고 자격 증명을 훔치고 자금을 빼앗을 것입니다."라고 덧붙였다.

 

단일 계정을 침해하면 잠재적으로 광범위한 액세스가 제공될 수 있기 때문에 ProofPoint는 조직의 95%가 클라우드 계정 침해 공격의 대상이되었으며 이중 절반 이상이 성공했다고 보고했습니다.

 

또한 이러한 조직 중 30% 이상이 파일 조작, 이메일 전달 및 OAuth 활동을 포함한 공격 전조 활동을 목격했다고 말했다.

 

공격자가 자격 증명을 갖게되면 다양한 서비스 안팎으로 쉽게 이동하고 이를 사용하여 설득력있는 추가 피싱 이메일을 보낼 수 있다.

 

Proofpoint는 사용자를 속여 정보를 포기하거나 멀웨어를 전달하도록 시도한 Microsoft와 Google 뒤에 숨어있는 캠페인의 몇 가지 예시를 제공했다.

 

한 메시지는 COVID-19 지침을 설명하는 문서로 연결되는 것으로 알려진 Microsoft SharePoint URL을 사용했다.

 

Proofpoint 팀은 이 메시지가 운송, 제조 및 비즈니스 서비스 부문의 5,000명의 사용자에게 전송되었다고 보고했다.

 

Proofpoint에서 제공한 또 다른 예는 "onmicrosoft.com"이라는 도메인 이름을 사용하여 가짜 화상 회의 자격 증명 수집 온라인 메일을 배포하려고 시도했으며 연구원들은 약 10,000명의 사용자에게 전달된 것으로 확인했다.

 

 
 
[그림1. 공격에 사용된 메일]
 
 

공격자들은 3월부터 Gmail을 사용하여 또 다른 캠페인을 호스팅했다.

 

이는 매크로가 활성화되었을 때 자격 증명을 도용하기 위해 Microsoft Excel 첨부 파일과 함께 트릭 뱅킹 트로이 목마를 배포했다.

 

2월에 Gmail이 호스팅한 또 다른 공격은 사용자가 비밀번호를 입력하여 압축된 MS Word 문서에 액세스하도록 유도한다.

 

해당 문서가 열리면 매크로가 활성화되어 Xorist 랜섬웨어를 배포하는 구조이다.

 

 

 

[그림2. 공격에 사용된 메일2]

 

 

공격자들이 Gmail과 Microsoft를 사용하여 이메일에 합법성을 부여하는 것은 더 광범위한 추세의 일부로 위협 행위자가 점점 더 설득력있는 미끼를 만들어내고 있다.

 

그리고 5월 말에 Cofense는 보안 게이트웨이를 우회하기 위해 Office SharePoint 테마를 사용하는 피싱 캠페인을 추가로 발견했다.

 

Proofpoint 보고서는 "우리 연구에 따르면 공격자들이 인기있는 클라우드 협업 도구를 활용해 악성 메시지를 유포하고 사람들을 표적으로 삼기 위해 Microsoft와 Google 인프라를 모두 사용하고 있음을 분명히 알 수 있습니다."라고 말했다.

 

"강화된 랜섬웨어, 공급망 및 클라우드 계정 탈취과 함께 이메일 보호는 보안에서 최우선 순위로 남아 있어야합니다."라고 결론지었다.

 

 

 

출처

https://threatpost.com/microsoft-google-clouds-hijacked-phishing/166329/

첨부파일 첨부파일이 없습니다.
태그 Google