130,000대 기기로 구성된 대규모 중국 봇넷이 Microsoft 365 계정을 표적으로 삼다
강력한 중국 관련 봇넷이 Microsoft 365 계정에 대한 대규모 비밀번호 스프레이 공격을 개시하여 기업과 조직을 심각한 위험에 빠뜨렸습니다. SecurityScorecard에 따르면, 이 봇넷은 무려 130,000대의 손상된 기기로 인해 발생하여 이 종류의 가장 큰 사이버 위협 중 하나입니다.
목차
공격 작동 방식
이 봇넷은 비대화형 로그인과 기본 인증을 악용합니다. 이 두 가지 Microsoft 365 보안의 약점을 악용하여 공격자는 많은 구성에서 다중 요소 인증을 트리거하지 않고도 도난한 자격 증명을 테스트할 수 있습니다.
비대화형 로그인은 종종 서비스 간 인증 및 POP, IMAP, SMTP와 같은 레거시 프로토콜에 사용되므로 보안 팀에서 덜 조사합니다. Microsoft에서 더 이상 사용되지 않지만 일부 환경에서는 기본 인증이 여전히 활성화되어 자격 증명을 일반 텍스트로 전송할 수 있습니다. 해커의 쉬운 대상입니다.
봇넷은 종종 infostealer 맬웨어에 의해 수집된 도난된 사용자 이름과 비밀번호를 가져와 Microsoft 365 계정에 대해 체계적으로 테스트합니다. 성공하면 공격자는 민감한 데이터에 액세스하고, 비즈니스 운영을 방해하고, 조직 내에서 측면 이동합니다.
이 공격이 감지하기 어려운 이유
이 공격의 가장 무서운 측면 중 하나는 은밀함입니다. 비밀번호 스프레이 시도가 비대화형 로그인으로 기록되기 때문에 많은 보안팀이 이러한 기록을 면밀히 모니터링하지 못합니다. 이를 통해 공격자는 체계적으로 계정을 침입하려고 시도하는 동안 레이더 아래로 빠져나갈 수 있습니다.
SecurityScorecard는 또한 4시간 동안 130,000개의 감염된 기기와 통신하는 미국 내 명령 및 제어 서버를 식별했습니다. 이러한 기기는 더 큰 글로벌 네트워크의 일부일 가능성이 높으며, 공격자는 이를 통해 운영을 빠르게 확장할 수 있습니다.
봇넷 뒤에는 누가 있을까?
공격이 중국 위협 그룹과 연관되었지만, 귀속 여부는 계속 조사 중입니다. 그러나 이 봇넷은 이전에 확인된 중국 사이버 스파이 캠페인과 특성을 공유합니다.
특히, Microsoft는 2024년 10월에 여러 중국 위협 행위자가 대규모 암호 스프레이 작업에서 훔친 자격 증명을 사용하고 있다고 보고했습니다. 이 캠페인은 CovertNetwork-1658, Xlogin, Quad7로 알려진 손상된 네트워크와 관련이 있었습니다.
조직을 보호하는 방법
이 봇넷이 Microsoft 365 계정을 적극적으로 타겟팅함에 따라 조직은 보안을 강화하기 위한 즉각적인 조치를 취해야 합니다.
- 사용자 환경에서 기본 인증이 아직 활성화되어 있는 경우 이를 비활성화합니다.
- 모든 사용자, 특히 비대화형 로그인에 대해 최신 인증 및 다중 요소 인증을 활성화합니다.
- 비정상적인 로그인 패턴이 있는지 확인하기 위해 비대화형 로그인 로그를 정기적으로 모니터링합니다.
- 엄격한 비밀번호 정책을 구현하고 정기적인 변경을 시행하여 비밀번호 유출을 방지하려면 강력하고 고유한 비밀번호를 사용하세요.
- 해커가 자격 증명을 수집하는 데 사용하는 정보 유출 맬웨어로부터 보호하기 위해 엔드포인트 보안 솔루션을 구축합니다.
- 가능하다면 Microsoft 365 계정에 대한 액세스를 지리적으로 제한하여 지리적 위치에 따라 로그인을 제한합니다.
마지막 생각
Microsoft 365를 표적으로 삼은 130,000대 기기 봇넷은 암호 기반 공격이 오늘날에도 여전히 가장 큰 사이버 보안 위협 중 하나라는 사실을 냉엄하게 일깨워줍니다. 많은 조직이 여전히 오래된 인증 방법에 의존하고 있기 때문에 공격자는 이러한 약점을 계속 악용합니다.
Microsoft 365 환경을 사전에 보호하고, 비정상적인 활동을 모니터링하고, 강력한 인증 정책을 시행함으로써 기업은 이 매우 정교한 공격의 희생자가 될 위험을 줄일 수 있습니다.