EvilProxy 피싱 키트
Infosec 연구원들은 EvilProxy라는 PhaaS(Phishing-as-a-Service) 툴킷을 점진적으로 활용하는 사기 관련 범죄자들의 놀라운 추세를 발견했습니다. 이 악성코드는 저명한 조직의 임원을 대상으로 계정 탈취 공격을 조율하기 위한 방법으로 배포되고 있습니다.
이러한 공격 캠페인은 EvilProxy 툴킷의 기능을 활용하는 하이브리드 전략을 사용하는 것으로 관찰되었습니다. 목표는 상당한 수의 Microsoft 365 사용자 계정을 대상으로 하여 2023년 3월부터 6월까지 전 세계 여러 조직에 약 120,000개의 피싱 이메일을 배포하는 것입니다.
중요한 것은 수많은 침해된 사용자 중 거의 39%가 최고 경영진으로 식별된다는 점입니다. CEO가 9%, CFO가 17%를 차지합니다. 이러한 공격은 민감한 재정 자원이나 중요한 정보에 대한 액세스 권한을 가진 직원에게도 집중됩니다. 놀랍게도, 손상된 모든 사용자의 35% 이상이 계정 보안의 추가 레이어를 선택했습니다.
사이버 보안 전문가들은 이러한 조정된 캠페인이 기업 내에서 강화된 다단계 인증(MFA) 구현에 대한 직접적인 대응이라고 지적합니다. 결과적으로 위협 활동가는 AitM(adversary-in-the-middle) 피싱 키트를 통합하여 새로운 보안 장벽을 극복하기 위해 전략을 수정했습니다. 이러한 키트는 자격 증명, 세션 쿠키 및 일회용 암호를 캡처하도록 고안되어 공격자가 피싱된 사용자가 높은 수준의 중요성을 갖는지 여부를 실시간으로 식별할 수 있습니다. 이 정확한 식별을 통해 공격자는 계정에 신속하게 액세스하여 덜 가치 있는 프로필은 무시하고 수익성 있는 대상에 노력을 집중할 수 있습니다.
EvilProxy와 같은 피싱 키트를 통해 숙련도가 낮은 사이버 범죄자가 정교한 공격을 수행할 수 있습니다.
EvilProxy는 2022년 9월 연구원들이 Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Yahoo, Yandex 등이 있습니다. 이 툴킷은 매월 $400의 기본 요금으로 사용할 수 있는 구독 서비스로 판매됩니다. 그러나 Google 계정을 타겟팅하는 경우 해당 자격 증명과 관련된 더 높은 가치를 반영하여 비용이 $600까지 상승할 수 있습니다.
PhaaS(Phishing-as-a-Service) 툴킷은 기술적으로 덜 숙련된 범죄자의 진입 장벽을 효과적으로 줄이는 사이버 범죄 환경의 눈에 띄는 발전을 나타냅니다. 이러한 진화를 통해 원활하고 비용 효율적인 접근 방식을 유지하면서 정교한 피싱 공격을 대규모로 실행할 수 있습니다.
이러한 간단하고 예산 친화적인 인터페이스를 사용하는 위협의 가용성으로 인해 성공적인 MFA(Multi-Factor Authentication) 피싱 활동이 크게 증가했습니다. 이러한 추세는 사이버 범죄자가 사용하는 전술의 변화를 의미하며, MFA 시스템의 취약성을 효율적으로 악용하고 공격 규모를 증폭할 수 있습니다.
EvilProxy 위협 행위자는 의심하지 않는 피해자를 유인하기 위해 사기성 이메일을 사용합니다.
기록된 공격 작업은 Adobe 및 DocuSign과 같은 신뢰할 수 있는 서비스를 가장한 피싱 이메일 배포로 시작됩니다. 이 기만적인 접근 방식은 수신자가 이메일에서 발견된 악성 URL과 상호 작용하도록 유인하는 것을 목표로 합니다. 이러한 URL을 클릭하면 다단계 리디렉션 시퀀스가 트리거됩니다. 목표는 실제 포털을 모방하도록 영리하게 설계된 Microsoft 365와 유사한 로그인 페이지로 대상을 이동시키는 것입니다. 위조 로그인 페이지는 리버스 프록시 역할을 하여 양식을 통해 제출된 정보를 개별적으로 캡처합니다.
이 캠페인의 주목할만한 요소는 터키 IP 주소에서 발생하는 사용자 트래픽을 의도적으로 제외한다는 것입니다. 이 특정 트래픽은 합법적인 웹사이트로 리디렉션되어 캠페인 오케스트레이터가 해당 국가에 있을 가능성을 암시합니다.
성공적인 계정 탈취가 달성되면 위협 행위자는 조직의 클라우드 환경 내에서 확고한 발판을 마련합니다. 이는 2단계 인증 앱과 같은 자체 MFA(다단계 인증) 방법을 도입하여 수행됩니다. 이 전략적 움직임은 위협 행위자가 일관된 원격 액세스를 유지하고 시스템 내에서 측면 이동을 촉진하고 추가 맬웨어의 확산을 촉진할 수 있도록 합니다.
획득한 액세스 권한은 수익 창출 목적으로 활용됩니다. 위협 행위자는 금융 사기에 가담하거나, 기밀 데이터를 유출하거나, 손상된 사용자 계정을 다른 악의적인 기업에 판매할 수도 있습니다. 현재의 역동적인 위협 환경에서 리버스 프록시 위협(특히 EvilProxy로 예시됨)은 과거에 사용된 덜 정교한 피싱 키트의 기능을 능가하는 매우 강력한 위협입니다. 특히 MFA(Multi-Factor Authentication)도 이러한 고급 클라우드 기반 위협에 면역이 되지 않습니다.
