마이크로 소프트는 정부 및 공공 기관에 악성 코드를 전송하기 위해 OAuth 기능을 활용하는 정교한 피싱 캠페인에 대해 경고했습니다. 비밀번호를 훔치는 고전적인 공격과는 달리,이 최신 전술은 공식 로그인 페이지를 사용하여 위험한 파일을 배포합니다.
마이크로소프트의 공식 보고서에 따르면 해커 그룹은 OAuth 시스템에서 정상적인 리디렉션 기능을 악용했습니다. OAuth는 사용자가 신뢰할 수있는 계정을 사용하여 제3자 애플리케이션에 직접 자격 증명을 공유하지 않고 서비스에 로그인 할 수 있도록 허용하는 인증 프로토콜입니다. 설계상이 시스템은 안전합니다. 그러나이 캠페인에서 틈은 버그가 아니라 기능이 어떻게 조작되었는지에서 비롯되었습니다.
범죄자는 매우 설득력 있게 디자인된 이메일을 보냅니다. 일부는 Microsoft Teams 회의 녹화로 위장하고, 다른 이들은 Microsoft 365 암호 재설정 알림으로 위장합니다. 이메일에는 수정된 OAuth 매개 변수가 포함된 링크가 있습니다.
피해자가 링크를 클릭하면 Microsoft의 공식 로그인 페이지로 이동합니다. 의심스러운 표시는 없습니다. 그러나 인증 프로세스가 의도적으로 유발되어 오류가 발생합니다. 이 오류는 리디렉션 기능을 활성화하여 사용자가 해커가 제어하는 사이트로 원활하게 전환됩니다.
이 시점에서 공격은 형태를 바꿉니다. 피해자는 비밀번호를 다시 입력하도록 요청받지 않습니다. 대신, 그들은 위험한 다운로드 파일을 제공하는 피싱 서비스 플랫폼으로 안내됩니다.
공개된 사건 중 하나에서 피해자는 쉬어코트 파일과 밀수 HTML 구성 요소가 포함된 ZIP 아카이브를 다운로드했습니다. 열릴 때, 파일은 정상 실행 파일을 호출하는 숨겨진 PowerShell 명령을 실행하고 측면로드 기술을 통해 위험한 DLL을로드합니다. 결과적으로 명령 서버와 공격자의 제어에 대한 외부 연결이 있습니다.
마이크로 소프트는 OAuth 로그인 페이지가 해킹되지 않았으며 공식 화면에서 인증 정보가 도난당하지 않았다고 주장했습니다. 시스템은 설계에 따라 작동합니다. 그러나 로그인 후 사용자를 다시 응용 프로그램으로 리디렉션하기위한 리디렉션 기능은 실제로 악성 코드 배포 경로로 사용되었습니다.
이 공격은 피싱 기술의 진화를 반영합니다. 이전에는 사용자에게 비밀번호를 제공하도록 속이는 데 초점이 맞춰졌지만, 이제는 더 미묘한 접근 방식을 취합니다. 위험한 다운로드로 피해자를 함정에 빠뜨리기 전에 안전한 느낌을 만들기 위해 공식 로그인 페이지에 대한 신뢰를 활용합니다.
이 기술 회사는 조직이 이메일 필터링 시스템을 강화하고 애플리케이션 리디렉션 구성을 검토하고 고급 피싱 전술에 대한 직원 교육을 강화할 것을 촉구했습니다. 이 캠페인의 규모는 확실하지 않지만 공격 패턴은 완벽한 계획 수준을 보여줍니다.
단일 로그인과 중앙 집중식 인증이 디지털 생산성의 핵심이 된 시대에, 엄격히 감시되지 않으면 모든 편의 기능이 조작 도구로 변질 될 수 있습니다. 사이버 세계는 빠르게 움직이고 위협 행위자들은 합법적인 것을 위험한 것으로 활용하는 데 점점 더 창의적 해 보입니다.
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
