러시아와 연관된 위협요소가 마이크로소프트 365 계정을 공격하는 활동을 벌이고 있습니다. 이들의 목표는 유럽, 북미, 아프리카, 중동의 정부, NGO, IT 서비스 및 기술, 방위, 통신, 건강, 에너지/석유 및 가스 분야의 조직에 속한 개인들의 계정입니다. 마이크로소프트 위협 정보 센터는 이 공격을 주도하는 위협요소를 'Storm-237'로 추적하고 있습니다. 이들의 행동 패턴, 희생자 유형, 관심사 등을 바탕으로 연구자들은 이 활동이 러시아의 이해관계와 일치하는 국가 주도 작업과 연관이 있다고 중간 정도의 확신을 가지고 있습니다.
'Storm-237'은 지난 8월부터 스마트 TV나 일부 IoT와 같이 키보드나 브라우저 지원이 부족한 장치에 대한 인증 흐름을 악용하고 있습니다. 이들은 사용자가 스마트폰이나 컴퓨터와 같은 다른 장치에서 인증 코드를 입력하도록 유도함으로써 공격을 시작합니다. 이 과정에서 공격자는 피해자를 속여 공격자가 생성한 장치 코드를 정당한 로그인 페이지에 입력하게 합니다. 이 공격은 피해자의 마이크로소프트 서비스(이메일, 클라우드 저장소)에 비밀번호 없이 접근할 수 있게 해줍니다.
마이크로소프트는 이러한 공격에 대응하기 위해 가능한 한 장치 코드 흐름을 차단하고, 신뢰할 수 있는 장치나 네트워크에만 사용할 수 있도록 마이크로소프트 Entra ID에서 조건부 접근 정책을 적용하는 것을 제안하고 있습니다. 또한, 장치 코드 피싱이 의심될 경우, 사용자의 새로고침 토큰을 즉시 취소하고, 조건부 접근 정책을 설정하여 영향을 받은 사용자들에게 재인증을 강제하는 것이 필요합니다.
요약
- 러시아와 연관된 위협요소 'Storm-237'이 마이크로소프트 365 계정을 공격하고 있다.
- 이들은 키보드나 브라우저 지원이 부족한 장치에 대한 인증 흐름을 악용하여 피해자의 마이크로소프트 서비스에 비밀번호 없이 접근한다.
- 마이크로소프트는 장치 코드 흐름을 차단하고, 신뢰할 수 있는 장치나 네트워크에만 사용할 수 있도록 조건부 접근 정책을 적용하는 것을 제안하고 있다.
- 장치 코드 피싱이 의심될 경우, 사용자의 새로고침 토큰을 즉시 취소하고, 조건부 접근 정책을 설정하여 영향을 받은 사용자들에게 재인증을 강제하는 것이 필요하다.
- 이러한 공격에 대비하기 위해, 높은 볼륨의 인증 시도, 인식되지 않은 IP로부터의 장치 코드 로그인, 여러 사용자에게 보내진 예상치 못한 장치 코드 인증 요청 등을 신속하게 파악할 수 있도록 로그를 모니터링하는 것이 중요하다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.