상세 컨텐츠

본문 제목

MS Office 365와 G Suite, IMAP 공격에 다단계 인증 우회돼

국내외 보안동향

by 알약(Alyac) 2019. 3. 15. 15:59

본문

Multi-Factor Auth Bypassed in Office 365 and G Suite IMAP Attacks


다단계 인증(MFA, Multi-factor Authentication)으로 보호된 마이크로소프트 Office 365와 G Suite 계정이 대규모 IMAP 기반 패스워드 스프레이(Password Spray) 공격을 통해 해킹된 것으로 나타났습니다.


이 해킹 기술은 기본 인증 IMAP(Internet Message Access Protocol) 프로토콜이 다단계 인증을 우회한다는 것을 악용했습니다. 


※ IMAP(Internet Message Access Protocol)란?


IMAP는 인터넷 메시지 접속 프로토콜로서 이메일 서버에서 이메일을 받아올 때 사용하는데, 서버에 저장된 이메일을 제공하기 때문에 사용자가 언제 어디서나 원하는 메일을 열람 가능


 IMAP과 POP의 차이점은 무엇인가요?


공격자들은 이를 통해 보호된 데이터에서도 크리덴셜 스터핑(Credential Stuffing) 공격을 실행할 수 있게 되었습니다.


또한, 연구원들은 최근 6개월 간 주요 클라우드 서비스 사용자들을 연구한 결과, 레거시 프로토콜과 사용자 인증 정보 덤프를 이용한 대규모 브루트 포스(Brute Force) 공격을 발견했다고 밝혔습니다.


72%의 클라우드 사용자, 최소 한 번은 공격 타깃


연구원들은 마이크로소프트 Office 365 및 G Suite 사용자의 약 60%가 IMAP 기반의 패스워드 스프레이 공격의 타깃이 되었으며, 그 결과 공격을 받은 사용자들 중 약 25%가 계정을 탈취 당했다고 밝혔습니다.


연구원들 조사 결과 사이버 범죄자가 조직을 대상으로 사용자 계정을 해킹할 때, 약 44%에 달하는 성공률에 도달했다고 결론지었습니다.


조직의 핵심적인 업무 기능이 클라우드로 이전함에 따라 사이버 범죄자들은 레거시 프로토콜을 악용하여 클라우드 어플리케이션 사용자들을 노리고 있습니다.


모니터링되고 있는 클라우드 사용자 계정, 수 백만 개에 약 10만 번의 로그인 시도가 발생했으며, 다음과 같은 내용을 발견했습니다.


- 72%의 사용자들이 공격자에게 최소한 한 번 이상 공격의 타깃이 되었습니다.

- 40%의 사용자들이 자신이 사용하는 환경에서 최소한 한 번 이상 해킹 당했습니다.

- 2% 이상의 액티브 사용자 계정이 공격의 타겟이 되었습니다.

- 액티브 사용자 계정 10,000개 중 15개 꼴로 공격이 성공하였습니다.


IMAP 기반 패스워드 스프레이 캠페인은 다단계 인증으로 보호된 Office 365 및 G Suite 계정을 해킹하는데 사용되었으며, 2019년 9월부터 2019년 2월까지 공격 횟수가 크게 증가했습니다.


이 공격은 주로 회사 임원 및 비서와 같은 공격 가치가 높은 사용자들을 노렸습니다. 대부분의 공격자들은 나이지리아 IP 주소를 이용했으며, 성공적인 공격들 중 약 40%가 나이지리아에서, 26%가 중국에서 발생했습니다.



성공적인 해킹, 내부 피싱(Phishing) 및 네트워크 래트럴 이동(Network Lateral Movement)


Proofpoint 보고서에는 공격자들은 전 세계적으로 탈취한 수천 개의 취약한 라우터와 서버를 포함한 네트워크 장치를 공격 플랫폼으로 활용했으며, 이를 활용해 평균 2.5일마다 새로운 피해자 계정에 접근했다고 밝혔습니다.


<이미지 출처: https://www.proofpoint.com/us/threat-insight/post/threat-actors-leverage-credential-dumps-phishing-and-legacy-email-protocols>


공격자들은 탈취한 클라우드 계정을 사용하여 조직 내부에 피싱 메일을 보내 악성 프로그램을 전파하여 조직 전체를 감염시켰습니다.


그리고 이메일 전달 규칙을 수정하거나 위임 설정을 활용하여 액세스 상태를 유지하고 중간자 공격(MITM, Man in the middle Attack)을 이용했습니다. 


공격자가 탈취한 계정은 공개적으로는 신뢰할 수 있는 계정이기 때문에 지하 시장에 판매되거나, 다른 회사에 피싱 캠페인을 보내거나, 기업의 기밀 정보에 접근하는 용도로 활용될 수 있습니다.


이러한 공격은 대학교, 고등학교 등의 교육 기관이 특히 취약하며 소매업, 금융업 등 다양한 분야의 회사들도 타깃이 될 수 있습니다.


그리고 공격자가 직원 급여 시스템이나 회사의 은행 계정을 탈취하면, 급여 지급 경로를 바꾸거나 재무 문서에 접근하여 공격자의 계정으로 자금을 송금할 수도 있습니다.


클라우드 서비스를 이용하는 회사들은 인증 우회 공격에 대처하기 위해 사용자 교육을 포함한 지능적인 보안 대책 마련이 필요합니다.


또한, 서비스 계정과 공유 메일 계정 관리자의 경우 취약한 비밀번호 사용을 지양하고, 복잡한 비밀번호 규칙을 이용하여 비밀번호 관리를 해야 하며, 계정 관리에 각별한 주의를 기울여 주시기 바랍니다.


브루트 포스(Brute Force) 공격 

무차별 대입 공격 방법으로 가능한 모든 암호 조합을 무작위로 시도하여 사용자의 비밀번호를 찾아내는 해킹 공격

브루트 포스(Brute Force) 공격이란 무엇인가요?


중간자 공격(MITM, Man in the middle Attack)


네트워크 통신을 하는 두 사람 사이에 중간자가 침입하여, 두 사람은 상대방에게 연결되었다고 생각하지만 실제로는 두 사람은 중간자에게 연결되어 있으며 중간자가 한쪽에서 전달된 정보를 도청 및 조작한 후 다른 쪽으로 전달하는 공격



출처:

https://www.bleepingcomputer.com/news/security/multi-factor-auth-bypassed-in-office-365-and-g-suite-imap-attacks/

https://www.proofpoint.com/us/threat-insight/post/threat-actors-leverage-credential-dumps-phishing-and-legacy-email-protocols

관련글 더보기

댓글 영역