Tycoon2FA 피싱 키트는 최근 디바이스 코드 피싱 공격을 지원하며, Trustifi 클릭 추적 URL을 악용해 Microsoft 365 계정을 탈취하는 수법을 선보이고 있다. 올해 3월 국제 법집행기관의 단속에도 불구하고, Tycoon2FA는 새로운 인프라로 신속히 복구되어 정상적인 활동 수준을 회복했으며, Abnormal Security에 따르면 오히려 난독화 계층을 추가해 방해 시도에 대한 내성을 강화했다. 4월 말에는 OAuth 2.0 디바이스 인증 흐름을 활용한 공격이 관찰되어, 운영자가 지속적으로 피싱 키트를 발전시키고 있음을 시사한다.
디바이스 코드 피싱은 공격자가 서비스 제공자에 디바이스 인증 요청을 보내고, 생성된 코드를 피해자에게 전달해 정식 로그인 페이지에 입력하도록 유도하는 방식이다. 피해자가 코드를 입력하면 공격자는 악성 디바이스를 피해자의 Microsoft 365 계정에 등록할 수 있게 되어, 이메일, 캘린더, 클라우드 파일 등 데이터와 서비스에 무제한 접근이 가능해진다. Push Security와 Proofpoint의 보고에 따르면, 올해 이 공격 방식은 37배 증가했으며, 최소 10개의 피싱-서비스-플랫폼(PhaaS)과 사설 키트가 이를 지원하고 있다.
eSentire의 최신 연구에 따르면, Tycoon2FA는 Trustifi, Cloudflare Workers, 난독화된 자바스크립트 계층을 거쳐 피해자를 가짜 Microsoft CAPTCHA 페이지로 유도한다. 이후 공격자 서버에서 Microsoft OAuth 디바이스 코드를 받아 피해자에게 입력을 유도하고, MFA까지 완료되면 공격자 디바이스에 OAuth 토큰이 발급된다. Tycoon2FA는 연구자 및 자동화 분석 도구를 탐지·차단하는 등 방어 기능도 강화되어 있으며, eSentire는 OAuth 디바이스 코드 플로우 비활성화, 권한 제한, 관리자 승인 요구, CAE 활성화, Entra 로그 모니터링 등 보안 조치를 권고하고 있다.
요약
- Tycoon2FA 피싱 키트가 디바이스 코드 피싱과 Trustifi URL을 악용해 Microsoft 365 계정 탈취 공격을 강화하였다.
- 국제 단속에도 불구하고 Tycoon2FA는 신속히 복구되어 더욱 정교한 난독화와 방어 기능을 추가하였다.
- 디바이스 코드 피싱은 피해자가 정식 로그인 페이지에 코드를 입력하도록 유도해 공격자에게 계정 접근 권한을 부여한다.
- 올해 이 공격 방식은 37배 증가했으며, 여러 피싱 서비스 플랫폼이 이를 지원하고 있다.
- eSentire는 OAuth 플로우 제한, 관리자 승인, 로그 모니터링 등 다양한 보안 대책을 권고하고 있다.
Reference
※ 이 글은 생성형 AI(gpt4.1)에 의해 요약되었습니다.