유로폴과 마이크로소프트가 2024년 3월 4일 Tycoon2FA 피싱-서비스(PhaaS) 플랫폼의 주요 인프라 도메인 330개를 압수하며 기술적 단속을 실시했으나, 이 영향은 단기간에 그쳤습니다. CrowdStrike에 따르면, 단속 직후 Tycoon2FA의 공격 활동량은 일시적으로 25% 수준으로 감소했으나, 며칠 만에 이전 수준으로 회복되었습니다. Tycoon2FA는 Microsoft 365와 Gmail 계정을 대상으로 2단계 인증(2FA)을 우회하는 공격 기법을 제공하며, 월 3천만 건의 피싱 이메일을 발송해 Microsoft가 차단한 전체 이메일의 62%를 차지하는 등 피싱 시장에서 중요한 역할을 하고 있습니다.
단속 이후에도 Tycoon2FA는 기존과 거의 동일한 공격 기법과 절차(TTPs)를 유지하며, 비즈니스 이메일 침해(BEC), 이메일 스레드 탈취, 클라우드 계정 탈취, 악성 SharePoint 링크 등 다양한 불법 활동을 지원하고 있습니다. 또한, 악성 URL, 단축 서비스, 프레젠테이션 도구 등 합법적 플랫폼의 리디렉션 기능을 악용하거나, AI로 생성된 미끼 웹페이지와 신규 피싱 도메인, IP 주소를 신속히 등록하여 공격을 이어가고 있습니다.
CrowdStrike는 일부 구 인프라가 여전히 활성화되어 있고, 물리적 압수나 체포가 이루어지지 않은 점을 지적하며, 이러한 상황에서는 사이버 범죄자들이 손쉽게 인프라를 복구하고 대체할 수 있다고 분석했습니다. 피싱 생태계의 수요가 지속되는 한, Tycoon2FA와 같은 PhaaS 운영자들의 동기는 변하지 않을 것으로 전망됩니다.
요약
- Tycoon2FA는 유로폴 단속 직후 빠르게 활동을 재개하였다.
- 단속 효과는 일시적이었으며, 피싱 공격량은 곧 이전 수준으로 회복되었다.
- Tycoon2FA는 2FA 우회 등 고도화된 기법으로 다양한 불법 활동을 지원한다.
- 일부 인프라가 여전히 남아 있고, 신규 도메인도 신속히 등록되었다.
- 체포나 물리적 압수가 없는 한, 피싱 서비스의 근본적 차단은 어렵다.
Reference
※ 이 글은 생성형 AI(gpt4.1)에 의해 요약되었습니다.