|
수십 개의 조직을 대상으로 하는 BEC 공격 침해사고분석팀 2021.05.10 |
|
|
Microsoft가 공격이 시작되기 며칠 전에 등록된 typo-squatted 도메인을 사용하는 120개 이상의 조직을 대상으로한 대규모 BEC(Business Email Compromise) 캠페인을 발견했다.
BEC 스캐머는 다양한 전술(사회 공학, 피싱 또는 해킹 포함)을 사용하여 비즈니스 이메일 계정을 손상시키고 나중에 자신이 통제하는 은행 계좌로 지불을 리디렉션하거나 기프트 카드 사기의 표적으로 삼는다. Microsoft는 위협 행위자가 부동산, 개별 제조 및 전문 서비스를 포함하여 다양한 산업 분야의 회사에서 일하는 직원의 관리자로 가장하는 이메일을 전송하기 위해 오타가있는 도메인을 사용했다고 말한다.
Microsoft 365 Defender 위협 인텔리전스 팀은 "올바른 도메인 이름을 사용하지만 잘못된 TLD를 사용하거나 회사 이름을 약간 잘못 입력하는 패턴을 관찰했습니다. 이러한 도메인은 이 이메일 캠페인이 시작되기 며칠 전에 등록되었습니다."라고 말했다.
 [그림1. 피해 산업 분야]
그러나 스푸핑된 도메인을 올바른 대상에 맞추려는 사기꾼의 노력에도 불구하고 등록된 도메인이 이메일에서 모든 조직과 항상 일치하지는 않았다.
추가로 가짜 메일 회신과 같은 표준 피싱 기술(In-Reply-To 및 References 헤더 스푸핑)을 사용하여 피싱 이메일에 합법성을 추가하는 사기범도 관찰되었다.
Microsoft는 "이 헤더를 채우면 수신자에게는 이메일이 합법적으로 보이게되었고 공격자는 단순히 Yahoo와 OutLook 사용자 사이의 기존 이메일 스레드에 회신하고 있는 형태였습니다."라고 덧붙였다.
"공격자가 가짜 혹은 진짜 이메일을 포함한 새 이메일 본문에 발신자, 수신자 및 제목을 추가하여 해당 이메일이 답장인 것처럼 보이게 하는 대부분의 BEC 캠페인과 달리 이 특성은 해당 캠페인을 차별화하는 요소입니다."라고 말했다.
[그림2. BEC 피싱 이메일]
이러한 BEC 스캐머의 방법이 정교하지 않은 것처럼 보일 수 있고 피싱 메시지가 일부에게는 분명히 악의적인 것으로 보이지만 BEC 공격은 2018년 이후 매년 기록적인 재정적 손실을 기록하고 있다.
2018년에 FBI(Federal Bureau of Investigation)는 추적할 수 있는 돈을 복구하고 사기꾼이 승인되지 않은 BEC 전송을 위해 사용하는 계정을 동결하는데 중점을 둔 복구 자산 팀을 구성했다. FBI는 지난 3월 미국 민간 기업들에게 주, 지역 정부 기관을 대상으로하는 BEC 공격에 대해 경고했다.
FBI는 "FBI의 IC3(Internet Crime Complaint Center)는 범죄 행위자들이 더욱 정교 해지고 현재 사건에 적응함에 따라 BEC가 점점 증가하고 지속적으로 진화하는 위협이라고 볼 수 있습니다."라고 말했다.
"2019년부터 2020년까지 조정 손실이 5%증가했으며, 2019년에 IC3에 17억 달러 이상의 조정 손실이 보고되었으며 2020년에 18억 달러 이상의 조정 손실이보고되었습니다."라고 덧붙였다.
출처 https://www.bleepingcomputer.com/news/security/microsoft-business-email-compromise-attack-targeted-dozens-of-orgs/ |
