New phishing campaign abuses a trio of enterprise cloud services
사용자의 로그인 크리덴셜을 훔치기 위해 엔터프라이즈 클라우드 서비스인 마이크로소프트 Azure, Dynamics, IBM Cloud 3곳을 악용하는 새로운 피싱 캠페인이 발견되었습니다.
BleepingComputer는 최근 “servicedesk[.]com”라는 헬프 데스크에서 온 것으로 가장하여 기업 환경의 실제 IT 헬프 데스크 도메인에서 사용하는 것과 유사한 단어를 사용하는 새로운 피싱 캠페인을 발견했습니다.
이 이메일은 직장에서 이메일 보안 제품 및 스팸 필터에서 종종 발송되는 대기열에 걸린 메시지를 “해제”할 것을 요구하는 “검역된 메일” 알림을 모방했습니다.
<IT 지원 센터에서 온 것으로 위장한 피싱 이메일>
<이미지 출처: https://www.bleepingcomputer.com/news/security/new-phishing-campaign-abuses-a-trio-of-enterprise-cloud-services/>
이 이메일의 송신자는 “noreply@servicedesk.com”으로 표시되어 있었습니다.
이메일 송신자 부분은 쉽게 스푸핑이 가능하지만 이 피싱 캠페인의 메일 헤더는 해당 이메일이 실제 이 도메인을 통해 전송된 것으로 표시됩니다.
이메일 헤더에서 확인할 수 있듯 이 피싱 이메일은 중개 “cn.trackhawk[.]pro” 도메인을 통해 전송되었으나 발신 도메인은 명백히 “servicedesk[.]com”입니다.
대부분의 이메일 스푸핑 시나리오에서 “From:” 이메일 도메인과 맨 아래 “Received:” 헤더에 리스팅된 도메인이 일치하지 않을 경우 위험한 것으로 간주됩니다.
이 캠페인에서는 “From:”에 사용된 도메인인 “servicedesk[.]com”이 마지막 “Received:” 헤더에 리스팅된 도메인과 매치해 더욱 쉽게 스팸 필터를 우회할 수 있게 됩니다.
<피싱 이메일 메시지의 오리지널 헤더>
<이미지 출처: https://www.bleepingcomputer.com/news/security/new-phishing-campaign-abuses-a-trio-of-enterprise-cloud-services/>
이 헤더는 아래 두 가지 중 하나의 경우를 나타냅니다.
1. “servicedesk.com” 메일 서버가 해킹되어 공격자가 해당 서버를 통해 이메일을 보냄
2. 공격자는 “cn.trackhawk.pro” 도메인을 통해 이메일을 보냈지만 위조된 “Received: from servicedesk.com ...” 헤더를 아래에 주입해 “From:” 도메인과 매치되도록 하여 신뢰도를 높임
흥미롭게도 “Received: from servicedesk.com(104.37.188[.]73)” 내 나열된 IP 주소에 ping을 보내면 시간 초과 결과가 반환되어 이 서버가 활성화되어 있지 않다는 것을 의미합니다.
하지만 “cn.trackhawk[.]pro” IP 66.23.232[.]62는 ping에 적절한 답변을 반환하기 때문에 위에 언급된 시나리오 중 2번일 가능성이 높습니다.
또한 “servicedesk[.]com” 도메인에 대한 DMARC, DKIM, SPF 검증이 없기 때문에 스패머가 이 도메인을 악용할 수 있도록 허용하게 됩니다.
마이크로소프트와 IBM 도메인, 합법성 더해
IBM 클라우드 호스팅, 마이크로소프트 Azure, Dynamics와 같이 잘 알려진 엔터프라이즈 솔루션을 사용하여 피싱 랜딩 페이지를 호스팅하는 이유는 캠페인에 합법성을 더하기 위함입니다.
이는 Azure(windows[.]net) 또는 IBM 클라우드에서 호스팅되는 도메인은 이 회사의 이름을 포함하는 무료 SSL 인증서를 얻을 수 있기 때문에 더욱 합법적으로 보일 수 있습니다.
<IBM 클라우드 인증서>
<이미지 출처: https://www.bleepingcomputer.com/news/security/new-phishing-campaign-abuses-a-trio-of-enterprise-cloud-services/>
피싱 이메일에는 “RELEASE MESSAGES” 또는 “CLEAN-UP CLOUD” 라벨이 붙은 버튼이 있으며 클릭할 경우 사용자를 합법적인 마이크로소프트 Dynamics 365 URL로 이동시킵니다.
이후 이 URL은 피싱 랜딩페이지를 호스팅하기 위해 사용자를 IBM의 Cloud Foundry 배포에 사용되는 IBM 클라우드 도메인인 cf.appdomain[.]cloud로 이동시킵니다.
<IBM 클라우드 서버의 랜딩 페이지>
<이미지 출처: https://www.bleepingcomputer.com/news/security/new-phishing-campaign-abuses-a-trio-of-enterprise-cloud-services/>
이 랜딩페이지는 사용자가 너무 취약한 “테스트” 패스워드를 입력할 경우 “잘못된 패스워드 입니다!”라는 에러를 표시하도록 설계되었습니다.
IBM 클라우드 패스워드에 길이와 복잡도가 적절한 패스워드를 입력할 경우 사용자는 마이크로소프트 Azure의 호스팅 도메인인 windows.net의 설정 업데이트 호스트를 확인하는 또 다른 가짜 페이지로 이동됩니다.
<Azure windows.net 도메인의 파이널 랜딩 페이지>
<이미지 출처: https://www.bleepingcomputer.com/news/security/new-phishing-campaign-abuses-a-trio-of-enterprise-cloud-services/>
이 악성 페이지는 사용자를 결국 그들의 이메일 주소 도메인과 관련된 웹사이트로 이동시킵니다. 이 피싱 캠페인의 경우 최종 목적지는 “axsharma[.]com”이었습니다.
피싱 이메일은 기업 및 개인에게 늘 익숙하지만, 데이터 도난 및 전사적 랜섬웨어 공격과 같은 심각한 결과를 초래할 수 있습니다.
공격자들이 피싱 공격에 합법성을 더하고 무료 SSL 인증서를 제공하기 위해 합법적인 클라우드 인프라를 악용하는 피싱 캠페인이 증가하는 추세입니다.
이렇듯 공격을 더욱 복잡하게 만들어 스팸 필터와 보안 제품을 우회 가능할 수 있어 정교한 보안 시스템의 필요성이 더욱 커지게 됩니다.
출처:
Zoom의 Vanity URL 기능에서 취약점 발견, 피싱 공격에 이용되었을 가능성 있어 (0) | 2020.07.21 |
---|---|
트위터 해커, 해킹된 계정 8개의 데이터 다운로드 (0) | 2020.07.20 |
뱅킹, 소셜 및 기타 모바일 앱에 발생하는 BlackRock 악성코드 (0) | 2020.07.17 |
해커들, 관리자 툴 이용해 트위터 해킹 후 계정 훔쳐 (0) | 2020.07.17 |
Cisco, 치명적인 사전 인증 취약점 수정 (0) | 2020.07.16 |
댓글 영역