피싱 사기범 ‘Sneaky Log’, 전세계 MS365 사용자 겨냥
PhaaS 통해 2단계 인증 등 MFA 우회 위한 AiTM 피싱 공격
[애플경제 이윤순 기자] 지난 연말부터 마이크로소프트 365(MS 365)계정을 표적으로 암약해온 새로운 피싱 서비스(phishing-as-a-service, PhaaS) 키트가 뒤늦게 탐지되었다. 몰래 로그인을 시도하는 피싱 서비스 키트는 가짜 인증 페이지를 만들어, 2단계 보안 코드 등 계정 정보를 수집하는 것으로 밝혀졌다..
100개 도메인과 관련, 작년 10월부터 활동
이런 사실은 프랑스의 유명한 보안업체 세코이아(Sekoia)가 최근 뒤늦게 발견, 공표함으로써 알려졌다. 해당 피싱 키트는 ‘Sneaky 2FA’로 불린다. 이는 피싱과 사이버공격자인 ‘스네이크 로그’(Sneaky Log)가 텔레그램을 통해 배포했다. 현재 알려지기론 이는 약 100개의 도메인과 연관되어 있으며 적어도 2024년 10월부터 이미 활동해온 것으로 알려졌다.
‘Sneaky 2FA’는 이른바 ‘중간자 공격’을 통해 두 기기 간에 전송되는 정보를 가로챈다는 뜻을 담고 있다. 여기서 ‘두 기기’는 MS365와 피싱 서버가 있는 기기를 말한다. 넓게 보면 ‘Sneaky 2FA’는 이메일을 통한 사이버공격의 범주에 속하는 자들이다.
세코이아는 자체 블로그를 통해 “(MFA를 우회하기 위한) AiTM 피싱(M(Adversary-in-the-Middle, 중간자 공격)과 비즈니스 이메일 침해(BEC) 공격과 관련된 사이버 범죄 생태계는 지속적으로 진화하고 있다”면서 “이들 해커들은 피싱 서비스의 품질과 경쟁력 있는 가격을 갖춘 PhaaS 플랫폼에서 또 다른 플랫폼으로 끊임없이 이전하고 있다.”고 소개했다.
Sneaky 2FA 키트, 텔레그렘 챗봇 등서 판매
해커 그룹 ‘Sneaky Log’는 일단 텔레그램 챗봇을 통해 피싱 키트에 대한 액세스를 판매한다. 돈을 지불하면 피싱 도구 ‘Sneaky 2FA’ 소스 코드에 대한 액세스를 제공한다. 이때 손상된 워드프레스(WordPress) 웹사이트나 기타 도메인을 사용, 피싱 키트를 트리거하는 페이지를 호스팅하게 된다.
이 수법은 일단 잠재적 피해자에게 가짜 마이크로소프트 인증 페이지를 보여주기도 한다. 그런 다음 ‘Sneaky 2FA’를 통해 “당신이 인간임을 확인하세요”라는 프롬프트 상자가 있는 클라우드플레어 턴스타일(Cloudflare Turnstile) 페이지도 보여준다. 그야말로 의심의 여지가 없도록 꼼꼼히 설계되어 있는 셈이다. 이에 피해자가 계정 정보를 제공하면 결국 이메일과 비밀번호가 피싱 서버로 전송된다. 이때 ‘Sneaky Log’의 서버는 마이크로소프트 365 계정에 사용 가능한 2FA 방법을 감지하고, 사용자에게 “이를 따르라”고 요청한다.
사용자는 실제 ‘Office365’ URL로 리디렉션되지만, 피싱 서버는 이미 마이크소로소프트 365 API를 통해 사용자 계정에 액세스하게 된다.
피싱 사이트 방문자가 봇이나, 클라우드 공급자, 프록시, VPN이거나 데이터 센터에서 시작되었을 경우 해당 페이지는 마이크로소프트 관련 위키피디아 항목으로 리디렉션된다. ‘알려진 남용과 관련된’ IP 주소를 사용하는 경우도 마찬가지다.
또 다른 보안 연구팀 ‘TRAC Labs’ 역시 지난해 12월에 ‘위키킷’이라는 피싱 사기에서 이와 유사한 수법을 감지했다.
세코이아는 “‘Sneaky Log’ 키트는 이미 지난 2023년 9월에 또 다른 보안업체 Group-1B가 발견한 다른 피싱 키트와, 일부 소스 코드를 공유한다”고 밝혔다. 해당 키트는 또 ‘W3LL’이라는 사이버공격자와 관련이 있는 것으로 추정된다. 세코이아가 파악하기론 ‘Sneaky Log’는 ‘Sneaky 2FA’를 범죄자들에게 월 200달러에 판매하되, 암호화폐로 거래하고 있다. 세코이아는 “‘Sneaky Log’는 다른 해킹 경쟁자들이 제공하는 키트보다 약간 저렴한 편”이라고 했다.
Sneaky 2FA 탐지, 완화하는 방법
세코이아는 일단 “‘Sneaky 2FA’와 관련된 활동은 사용자의 MS365 감사 로그에서 탐지할 수 있다”고 한다. 이에 따르면 특히 피싱 시도를 조사하는 보안 연구원들은 인증 흐름의 각 단계에서 HTTP 요청에 대해 서로 다르게 ‘하드 코딩’된 ‘User-Agent’ 문자열을 볼 수 있다. 이 경우 사용자 인증 단계가 양성이라면 일단 안심할 수 있다.
세코이아는 또 “iOS 사용자 에이전트에서 사파리(Safari)에 있는 ‘Login:login’ 이벤트와, 윈도우 사용자 에이전트에서 에지가 있는 ‘Login:resume’ 이벤트를 찾고, 둘 다 동일한 상관 관계 ID를 통해 10분 이내에 발생하는 보안 도구, 즉 ‘시그마 규칙 기반의 로그 기반 위협 탐지 규칙”을 발표하기도 했다.
보안 전문가는 또 직원들이 긴박하게 여겨지는 이메일을 포함, 의심스러운 이메일에 속아넘어가지 않도록 주의할 필요가 있다고 권고한다. 심지어는 QR 코드가 포함된 ’Final Lien Waiver.pdf‘라는 악성 이메일 첨부 파일에서 ’Sneaky 2FA‘가 발견되기도 했다. 해당 QR 코드에 포함된 URL은 곧바로 손상된 페이지로 이어지고 말았다.
이처럼 최근의 피싱 시도는 마이크로소프트를 집중적으로 공겨하고 있다. 사실 널리 보급된 MS는 공격을 직접 실행하든, 피싱 서비스 도구를 판매하든 간에 사이버범죄자들에게 풍요로운 사냥터일 수 밖에 없다.
2023년 MS의 위협 인텔리전스 팀은 오피스(Office)나 아울룩(Outlook)과 같은 서비스를 표적으로 삼는 피싱 키트를 공개했다. 같은 해 하반기엔 유명 보안업체 프룹포인트(Proofpoint)도 2단계 인증을 우회할 수 있는 피싱 키트인 ’ExilProxy‘를 적발, 그 실체를 널리 알린 바 있다. 또 지난해 10월 체크포인트도 MS 제품 사용자의 계정 정보를 훔치려는 정교한 수법을 경고하기도 했다.