Oracle과 AWS를 악용하는 Office 365 피싱 공격 침해사고분석팀 2020.11.30 |
|
미국과 호주의 중소기업에서 Office 365 계정을 훔치려는 피싱 공격은 Oracle과 Amazon의 클라우드 서비스를 이용해 이루어진다.
이러한 공격은 반년 이상 지속되어 왔으며, 합법적인 웹사이트를 프록시로 사용하여 활동하고 있다. 운영자는 공격 대상에게 음성 메시지 및 Zoom 초대용 가짜 메일을 미끼로 던져 피해자를 피싱 페이지로 유인하고 로그인 자격 증명을 수집한다.
[그림 1. 피싱 메일 샘플]
공격자는 손상된 전자 메일 계정으로부터 피싱 메시지를 전송하고, redirection 체인에 있는 AWS(아마존 웹 서비스)와 오라클의 클라우드를 사용한다. 링크를 클릭하면 AWS 로드밸런서를 포함한 여러 프록시를 통해 합법적이지만 취약한 웹 사이트로 사용자가 Redirection 되며, 이 페이지에 입력된 계정 정보는 자동으로 다른 해킹된 웹 사이트로 전송된다.
[그림 2. 공격 절차]
가짜 Office 365 페이지의 HTML 코드에서 발견된 단서는 해당 피싱 페이지가 Phishing-as-a-Service(서비스형 피싱)의 일부임을 나타냈다.
[그림 3. 페이지 소스]
위 그림과 같이 가짜 Office365 페이지들의 소스에는 도난된 자격 증명이 전송되는 URL(주석처리된 부분)과 함수 이름, 변수 등의 작은 차이가 존재했으며, 이는 여러 공격자가 동일한 인프라를 사용한다는 것을 알 수 있다.
출처 |