English
Français
Deutsch
Español
Italiano
Português
日本語
Русский
러시아 사이버 스파이, Microsoft 번호 압수
Jun 25, 2023Midnight Blizzard 지능형 지속 위협 그룹의 스피어 피싱 공격은 중소기업의 Microsoft 365 테넌트를 표적으로 삼았습니다.
APT29로 알려진 러시아 국영 사이버 스파이 그룹은 숫자 일치에 의존하는 Microsoft의 2단계 인증(2FA) 푸시 알림 방법을 무력화하기 위해 Microsoft Teams를 통해 가짜 보안 메시지를 사용하는 조직을 대상으로 피싱 공격을 시작했습니다. 마이크로소프트는 보고서에서 “현재 조사에 따르면 이 캠페인이 40개 미만의 고유한 글로벌 조직에 영향을 미친 것으로 나타났습니다.”라고 밝혔습니다. "이 활동의 표적이 된 조직은 정부, 비정부 조직(NGO), IT 서비스, 기술, 개별 제조 및 미디어 부문을 대상으로 한 Midnight Blizzard의 특정 스파이 활동 목표를 나타낼 가능성이 높습니다."
Midnight Blizzard는 Microsoft가 새로 지정한 APT29의 이름입니다. APT29는 수년 동안 운영되어 왔으며 미국과 영국 정부에 의해 러시아 외국 정보 서비스인 SVR의 해킹 무기로 간주되는 위협 그룹입니다. 보안 업계에서는 Cozy Bear 또는 NOBELIUM으로도 알려진 APT29는 전 세계 수천 개의 조직에 영향을 미친 2020 SolarWinds 소프트웨어 공급망 공격의 배후였을 뿐만 아니라 전 세계의 많은 정부 기관, 외교 사절단 및 군사 산업 기지 회사에 대한 공격에도 책임이 있었습니다. 수년에 걸쳐 세계.
APT29는 제로데이 익스플로잇, 클라우드 환경 내 여러 엔터티 간의 신뢰 관계 남용, 인기 서비스에 대한 피싱 이메일 및 웹 페이지 배포, 비밀번호 스프레이 및 무차별 공격 등 다양한 방법을 사용하여 시스템 및 네트워크에 액세스합니다. , 악성 이메일 첨부 파일 및 웹 다운로드를 통해.
Microsoft가 감지한 최신 스피어 피싱 공격은 5월에 시작되었으며 소규모 기업에 속한 Microsoft 365 테넌트를 먼저 하이재킹하는 대규모 자격 증명 손상 캠페인의 일부였을 가능성이 높습니다. Microsoft 365 테넌트는 일반적으로 신뢰되는 onmicrosoft.com 도메인에서 하위 도메인을 얻습니다. 따라서 공격자는 사회 공학 공격의 다음 단계에 신뢰성을 제공하기 위해 하이재킹된 테넌트의 이름을 보안 및 제품 관련 이름이 포함된 하위 도메인으로 변경했습니다.
두 번째 단계에서는 이미 자격 증명을 획득했거나 비밀번호 없는 인증 정책을 활성화한 다른 조직의 계정을 대상으로 삼았습니다. 이 두 계정 유형 모두 Microsoft에서 숫자 일치 푸시 알림을 통해 다단계 인증을 활성화했습니다.
2FA 푸시 알림 방법에서는 사용자가 로그인 시도를 승인하기 위해 앱을 통해 모바일 장치에서 알림을 받는 방법을 사용합니다. 이는 많은 웹사이트에서 흔히 사용되는 구현이지만 공격자들은 2FA 또는 MFA 피로라고 알려진 방식으로 이를 악용하기 시작했습니다. 이는 자격 증명을 도난당한 사용자에게 시스템이 오작동하고 있다고 생각할 때까지 지속적인 푸시 승인 요청으로 스팸을 보내는 공격 전술입니다. 이를 수락하거나 더 나쁘게는 이 옵션을 활성화한 사용자에게 한밤중에 2FA 전화 통화로 스팸을 보내는 것입니다.
2FA를 구현하는 또 다른 일반적인 방법은 웹사이트에서 사용자 휴대폰의 인증 앱에 의해 생성된 코드를 요구하도록 하는 것입니다. 그러나 공격자는 사용자와 대상 웹 사이트 또는 서비스 간의 역방향 프록시 역할을 하는 피싱 페이지를 구현하여 해당 방법을 우회하는 방법도 찾았습니다.
이러한 종류의 공격에 대응하여 Microsoft는 Microsoft 웹 사이트가 사용자 모바일 장치의 Microsoft Authenticator 앱에 푸시 알림을 보내 사용자에게 앱 내부에 숫자를 입력하라는 메시지를 보내는 또 다른 2FA 방법을 구현했습니다. 이 번호는 인증 과정에서 웹사이트에 표시됩니다. 이 방법은 숫자 일치라고 하며 5월 8일부터 모든 Microsoft Authenticator 푸시 알림에 대한 기본 방법으로 지정되었습니다.
이제 공격자가 훔친 사용자 자격 증명으로 인증을 시도하면 사용자는 Microsoft Authenticator 앱에서 2FA 프로세스를 완료하기 위해 숫자를 입력하라는 메시지를 받게 되지만, 사용자는 웹 사이트에 표시되는 숫자가 자신이 아니기 때문에 알 수 없습니다. 브라우저에서 인증을 시작한 사람. 그래서 APT29는 이 새로운 도전을 극복하기 시작했습니다.