중국의 사이버 스파이 그룹 Storm-0558이 Microsoft 계정(MSA)의 소비자 서명 키를 도난당해 수십 개 기관의 Exchange Online과
Azure AD 계정을 침해한 사건이 발생했습니다. Microsoft는 이 도난 받은 키를 이용해 새로운 인증 토큰을 생성하고 범죄 그룹이
수십 개 기관의 엔터프라이즈 메일에 접근하는 데 이를 활용한 것으로 밝혔습니다. 그러나 Microsoft는 어떻게 이 키를 획득했는지에
대해서는 아직 밝혀 지지 않았습니다.
[그림 1] Microsoft
Microsoft는 지난 6월 16일부터 이러한 공격을 조사하고, 유출된 키를 사용한 사용자에 대한 모든 활동을 차단한 뒤, 이 키를 사용해
공격자의 토큰 재생 인프라를 중단했습니다. 이어서 6월 27일, Microsoft는 모든 MSA서명 키를 폐기하고 새로이 생성된 키를 엔터프라이즈
시스템용 키 저장소로 이동시켰습니다. 또한 Microsoft는 화요일에 로마컴(RomCom) 러시아 사이버 범죄 그룹이 아직 패치되지 않은
Office zero-day 취약점을 이용해 공격을 시도하였음을 추가로 공개하였습니다.
요약
- Microsoft는 중국의 사이버 스파이 그룹 Storm-0558에 의해 소비자 서명 키가 도난 당한 사실을 인정했다.
- Microsoft는 도난 당한 키를 이용한 모든 활동을 차단하고, MSA 서명 키를 모두 폐기하였다.
- Microsoft는 Storm-0558이 기존 방식에서 다른 기술로 전환, 또한 RomCom 러시아 사이버
범죄 그룹이 Office zero-day를 이용해 공격한 것도 확인하였다.
Reference
*※ 이 글은 생성형 AI(Chatgpt-4)에 의해 요약되었습니다.