Wins Security Information

보안 동향

앞 내용 보기 다음 내용 보기
보안 동향스피어 피싱에 악용되는 Google Docs의 댓글 기능
작성일 2022-01-07 조회 136

 

 

2021년 12월 위협 행위자들이 Google Docs의 댓글 기능을 악용하여 신뢰할 수 있는 것처럼 보이는 이메일을 보내는 등 피싱 공격의 새로운 경향이 나타났다.


Google Docs는 원격으로 일하거나 공동작업하는 많은 직원들이 사용하므로 이러한 이메일 수신자들은 대부분 알림에 익숙하다..


Google 자체가 이러한 이메일을 보내도록 "속이기" 때문에 이메일 보안 도구에서 잠재적으로 위험한 것으로 태그를 지정할 가능성은 거의 없다.


이 수법은 실제로 지난해 10월부터 제한적으로 악용되었으며 Google은 이 문제를 완화하기 위해 시도했지만 아직 취약점을 완전히 해결하지는 못했다.

이 최근 캠페인은 점차 확산되고 있으며 Avanan의 위협 분석가들에 의해 적극적으로 모니터링되고 있다.


해커는 Google 계정을 사용하여 Google 문서를 만든 다음 @로 대상을 언급하기 위해 댓글을 단다.


그런 다음 Google은 대상의 받은 편지함으로 알림 이메일을 보내 다른 사용자가 문서에 댓글을 달고 언급했음을 알려준다.

 



[그림 1. Google에서 생성 및 전송하는 위험한 이메일]

 


이메일에 달린 댓글에는 악성 링크가 포함되어 있어 악성코드를 다운받는 웹 페이지나 피싱 사이트로 유도하므로 확인/필터링 메커니즘이 제대로 갖춰져 있지 않다.


그리고 위협 행위자의 이메일은 알림에 표시되지 않으며 수신자는 이름만 볼 수 있어, 사칭이 매우 쉬운 동시에 공격자의 성공 가능성을 높인다.

 



[그림 2. Google 프레젠테이션에서 동일한 기능 활용]

 


Google Slide 댓글에도 같은 기능이 적용되며, Avanan은 공격자들이 Google Workspace 서비스의 다양한 요소에서 이를 활용하는 것을 보았다고 보도했다.


설상가상으로 공격자는 대상을 언급하는 것만으로도 악의적인 알림을 보내기에 충분하기 때문에 해당 문서를 대상과 공유할 필요가 없다.


Avanan에 따르면 이러한 공격 배후의 위협 행위자들이 Outlook 사용자를 선호하는 것처럼 보이지만, 대상 인구 통계는 이들에 국한되지 않는다.


현재 진행 중인 이 스피어 피싱 캠페인은 100개 이상의 Google 계정을 사용하고 있으며 이미 30개 조직에 걸쳐 500개의 받은 편지함에 도달했다.


이와 유사한 캠페인의 위험을 완화하는 유일한 방법은 다음과 같다.

- 보낸 사람이 동료(또는 청구한 사람)의 이메일과 일치하는지 확인
- 이메일을 통해 수신되고 댓글에 포함된 링크를 클릭하지 마십시오.
- Google Workspace에 보다 엄격한 파일 공유 규칙을 적용하는 추가 보안 조치 배포
- 피싱 URL 보호를 제공하는 신뢰할 수 있는 공급업체의 인터넷 보안 솔루션 사용

 

 


출처
https://www.bleepingcomputer.com/news/security/google-docs-commenting-feature-exploited-for-spear-phishing/

첨부파일 첨부파일이 없습니다.
태그 Google Docs  Google Workspace