Microsoft는 금융적 동기를 가진 위협 행위자들이 OAuth 앱을 사용하여 BEC와 피싱 공격을 자동화하고, 스팸을 보내고, 암호화폐 채굴을 위한 가상 머신을 배포하고 있다고 경고했습니다. Microsoft Threat Intelligence 전문가들이 조사한 최근 사건들에서는, 공격자들이 주로 강력한 인증 메커니즘(예: 다중 요소 인증)이 없는 사용자 계정을 피싱 또는 패스워드 스프레이 공격의 대상으로 삼았습니다. 이러한 계정들은 새로운 OAuth 앱을 생성하고 높은 권한을 부여하는 데 사용되며, 이를 통해 악의적인 활동이 숨겨져 있으면서도 원래 계정이 손실되더라도 계속해서 접근할 수 있도록 보장합니다.
Storm-1283이라는 위협 행위자는 OAuth 앱을 생성하여 암호화폐 채굴 가상 머신을 배포하는 사례가 두드러졌습니다. 이 공격으로 인한 금융적 손실은 공격의 지속 기간에 따라 $10,000에서 $1.5백만에 이르렀습니다. 또 다른 위협 행위자는 손상된 계정을 사용하여 OAuth 앱을 생성하고, 이를 이용하여 지속적인 접근을 유지하고 피싱 캠페인을 시작했습니다. 이 공격자는 Microsoft Outlook Web Application (OWA)를 사용하여 "결제"와 "송장"에 연결된 첨부 파일을 찾는 Business Email Compromise (BEC) 정찰에 손상된 계정을 사용했습니다.
Microsoft는 OAuth 앱을 악용하는 악의적인 행위자들에 대비하기 위해 다중 요소 인증(MFA)을 사용하여 자격 증명 스터핑과 피싱 공격을 방어하는 것을 권장합니다. 보안 팀은 또한 도난당한 자격 증명을 이용한 공격을 차단하기 위해 조건부 접근 정책을 활성화하고, 위험 트리거에 기반한 사용자 접근을 자동으로 취소하는 지속적인 접근 평가를 사용하며, MFA가 활성화되고 권한 있는 활동이 보호되도록 Azure Active Directory 보안 기본 설정을 사용해야 합니다.
요약
- Microsoft는 OAuth 앱을 사용하여 BEC와 피싱 공격을 자동화하고, 스팸을 보내고, 암호화폐 채굴을 위한 가상 머신을 배포하는 금융적 동기를 가진 위협 행위자들에 대해 경고했다.
- 공격자들은 강력한 인증 메커니즘(예: 다중 요소 인증)이 없는 사용자 계정을 피싱 또는 패스워드 스프레이 공격의 대상으로 삼았다.
- Microsoft는 다중 요소 인증(MFA)을 사용하여 자격 증명 스태핑과 피싱 공격을 방어하고, 도난당한 자격 증명을 이용한 공격을 차단하기 위해 조건부 접근 정책을 활성화하는 것을 권장한다.
Reference
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.