Hijacked Oxford server used by hackers for Office 365 phishing
해커가 옥스퍼드의 이메일 서버를 탈취해 마이크로소프트 오피스 365 크리덴셜을 수집하는 피싱 캠페인에 사용되는 악성 이메일을 보내기 위해 악용하고 있는 것으로 나타났습니다. 타깃은 유럽, 아시아, 중동 지역입니다.
또한 해커는 Adobe 서버에서 호스팅된 도메인을 사용했습니다. 이 도메인은 삼성이 2018년 사이버 먼데이 이벤트에서 사용한 것입니다.
공격자는 옥스퍼드 대학, 어도비, 삼성과 같은 평판 높은 브랜드를 사용하여 피해자의 이메일 보안 필터를 우회하고 오피스 365 크리덴셜을 넘겨주도록 속였습니다.
이 캠페인을 발견한 Check Point 연구원은 아래와 같이 설명했습니다.
“공격자는 합법적인 옥스퍼드 SMTP 서버를 통해 송신자의 도메인 평판 체크를 우회했습니다. 또한 이메일 주소를 원하는 만큼 생성할 수 있었기 때문에 피싱 이메일을 보낼 목적으로 실제 이메일 계정을 해킹할 필요가 없었습니다.”
오피스 365 음성 메일로 위장한 피싱
이 캠페인은 2020년 4월 Check Point 연구원들이 오피스 365 음성 메시지에 대한 알림으로 위장한 의심스러운 이메일을 확인하던 중 발견되었습니다.
합법적인 이메일로 위장하기 위해 피싱 메시지는 내용 위에 “신뢰할 수 있는 서버에서 전송된 메시지(Message from Trusted server)” 알림을 표시했습니다.
이 이메일은 타깃의 음성 포털에 읽지 않은 음성 메시지가 도착했다고 주장하며, 해당 메시지를 다운로드 또는 청취하고자 할 경우 아래에 있는 버튼을 누르라 설명했습니다.
피해자가 피싱 메시지 내 ‘Listen/Download’ 버튼을 클릭할 경우, 오피스 365 로그인 페이지로 위장한 피싱 랜딩 페이지로 이동됩니다.
<피싱 이메일 샘플>
<이미지 출처: https://research.checkpoint.com/2020/phishing-campaign-exploits-samsung-adobe-and-oxford-servers/>
리디렉션 목적은 피해자 필터링
피해자 리디렉션은 2단계로 이루어집니다. 1단계는 합법적인 도메인(Samsung.ca)에 존재하는 리디렉션 체계를 악용하기 위해 사용되었으며, 2단계는 사용자를 손상된 워드프레스 사이트로 이동시킵니다.
공격 2단계에서 사용된 피싱 키트는 해킹된 워드프레스 웹사이트 여러 곳에서 호스팅되고 있었습니다.
여기에는 방문자가 피싱 이메일을 통해 해킹된 사이트를 방문했는지 확인하는 리디렉션 코드가 포함되어 있습니다.
코드가 없을 경우 공격을 중지하며 방문자를 피싱 사이트로 보내지 않고 실제 사이트로 이동시킵니다.
<공격 플로우>
<이미지 출처: https://research.checkpoint.com/2020/phishing-campaign-exploits-samsung-adobe-and-oxford-servers/>
공격자는 리디렉션 방식과 피싱 링크 내 URL 파라미터를 지속적으로 변경하여 패턴 기반 엔진의 탐지를 피했습니다.
또한 대부분의 이메일은 영국의 옥스퍼드 대학 내 여러 부서의 합법적인 서브 도메인에서 생성된 주소로부터 전송되었습니다.
피싱 키트를 호스팅하며 오피스 365 크리덴셜을 수집하여 공격자 제어 서버로 유출하는 최종 페이지는 완전히 난독화된 상태였습니다.
각 피해자에게 고유한 URL이 할당되도록 피해자마다 별도 가상 디렉터리를 생성했습니다.
어도비는 이러한 공격 유형을 예방하기 위해 적절한 조치를 취한 것으로 알려졌습니다.
<피싱 랜딩 페이지>
<이미지 출처: https://research.checkpoint.com/2020/phishing-campaign-exploits-samsung-adobe-and-oxford-servers/>
옥스퍼드 이메일 서버를 하이재킹한 오피스 365 피싱 캠페인과 관련된 더욱 자세한 내용은 Check Point의 보고서에서 확인하실 수 있습니다.
출처:
https://research.checkpoint.com/2020/phishing-campaign-exploits-samsung-adobe-and-oxford-servers/
해커들, 악성 페이로드를 숨기기 위해 가짜 윈도우 에러 로그 사용 (0) | 2020.06.22 |
---|---|
Netgear 라우터 모델 79개에서 패치되지 않은 취약점 발견 (0) | 2020.06.19 |
AWS, 역대 최대 규모인 2.3 Tbps DDoS 공격 완화했다고 밝혀 (0) | 2020.06.18 |
시스코, 윈도우 및 맥OS 용 Webex Meetings의 심각한 취약점 수정 (0) | 2020.06.18 |
다수의 IoT 기기 위협하는 Ripple20 취약점 (0) | 2020.06.17 |
댓글 영역