GitHub 계정을 훔치는 피싱 공격 성행

GitHub accounts stolen in ongoing phishing attacks

공격자들이 GitHub의 로그인 페이지와 유사한 랜딩 페이지를 이용하는 피싱 캠페인을 통해 GitHub 사용자를 노리고 있는 것으로 나타났습니다.

이들은 사용자의 계정을 탈취할 뿐만 아니라 그들의 개인 저장소, 조직에 속한 계정 및 기타 공동 작업물 등의 내용을 즉시 다운로드하는 것으로 나타났습니다.

GitHub의 보안 사고 대응팀(SIRT)는 공격자는 GitHub 사용자 계정 정보를 손에 넣는데 성공할 경우 사용자가 암호를 변경할 경우에도 계속해서 액세스하기 위해 즉시 GitHub 개인 액세스 토큰을 생성하거나 해당 계정의 OAuth 애플리케이션을 인증할 것입니다라고 밝혔습니다.

GitHub의 SIRT는 Sawfish라 명명된 현재 진행 중인 피싱 캠페인에 대한 정보를 공개해 사용자들이 이를 인지하고 계정과 저장소를 보호할 수 있도록 했습니다.

활성화된 GitHub 계정을 노리는 피싱 공격

이 피싱 이메일은 사용자가 악성 링크를 클릭하도록 속이기 위해 다양한 미끼를 사용합니다. 승인되지 않은 행동이 탐지되었다고 하거나, 사용자의 계정 또는 저장소의 설정이 변경되었다고 주장합니다.

이에 속아 링크를 클릭한 사용자는 크리덴셜을 수집해 공격자가 제어하는 서버로 전송하는 가짜 GitHub 로그인 페이지로 이동됩니다.

사용자가 시간 기반 OTP(TOTP) 모바일 앱을 사용할 경우, 이 피싱 랜딩 페이지는 피해자의 이중 인증 코드를 실시간으로 추출해낼 수도 있습니다. 따라서 공격자들은 TOTP로 보호된 계정에도 침투할 수 있습니다.

하지만 하드웨어 보안 키로 보호되는 계정은 이 공격에 취약하지 않은 것으로 나타났습니다.

<피싱 이메일 샘플>

<이미지 출처: https://github.blog/2020-04-14-sawfish-phishing-campaign-targets-github-users/>

이 피싱 캠페인은 공개 커밋에서 얻은 이메일 주소를 통해 여러 국가의 기술 회사에서 일하는 GitHub 사용자를 노립니다.

이 피싱 메일은 이미 해킹된 이메일 서버나, 정식 대량 이메일 서비스 제공 업체의 훔친 API 크리덴셜을 통해 합법적인 도메인을 통해 전달됩니다.

또한 공격자들은 랜딩 페이지의 URL을 숨기기 위해 URL 단축 서비스를 사용하며, 더욱 강력한 난독화를 위해 여러 URL 단축 서비스를 반복하여 사용한 것으로 나타났습니다.

또한 공격에 사용된 악성 링크가 의심을 받지 않도록 하기 위해 해킹된 사이트에서 PHP 기반 리디렉터를 사용했습니다.

이러한 피싱 공격에 대응하는 법

GitHub은 아직 보안 키를 통한 이중 인증을 설정하지 않은 사용자들에게 아래와 같은 방법을 권장했습니다.

- 패스워드 즉시 리셋하기

- 이중인증 복구 코드 즉시 리셋하기

- 개인 액세스 토큰 검토하기

- 계정을 확인 및 보호하기 위한 추가 단계 수행

또한 GitHub은 "피싱 공격이 성공하는 것을 막기 위해서는 하드웨어 보안 키나 WebAuthn 이중 인증 사용을 고려하시기 바랍니다. 브라우저 통합 패스워드 관리자를 사용하는 것도 좋습니다.”라고 조언했습니다.

출처:

https://www.bleepingcomputer.com/news/security/github-accounts-stolen-in-ongoing-phishing-attacks/

https://github.blog/2020-04-14-sawfish-phishing-campaign-targets-github-users/