2024-03-29 01:50 (금)
IMAP 기반 패스워드 스프레이 공격, MS 오피스 365와 G Suite 사용자 계정 탈취...주의
상태바
IMAP 기반 패스워드 스프레이 공격, MS 오피스 365와 G Suite 사용자 계정 탈취...주의
  • 길민권 기자
  • 승인 2019.03.17 17:31
이 기사를 공유합니다

공격자들, 탈취한 클라우드 계정 사용해 조직 내부에 피싱 메일 보내

pr-1.jpg
다단계 인증(MFA, Multi-factor Authentication)으로 보호된 마이크로소프트 오피스 365와 G Suite 계정이 대규모 IMAP 기반 패스워드 스프레이(Password Spray) 공격을 통해 해킹된 것으로 나타났다.

이 해킹 기술은 기본 인증 IMAP(Internet Message Access Protocol) 프로토콜이 다단계 인증을 우회한다는 것을 악용했다.

IMAP는 인터넷 메시지 접속 프로토콜로서 이메일 서버에서 이메일을 받아올 때 사용하는데, 서버에 저장된 이메일을 제공하기 때문에 사용자가 언제 어디서나 원하는 메일을 열람 가능하다.

또한 연구원들은 최근 6개월 간 주요 클라우드 서비스 사용자들을 연구한 결과, 레거시 프로토콜과 사용자 인증 정보 덤프를 이용한 대규모 브루트 포스(Brute Force) 공격을 발견했다고 밝혔다.

연구원들은 마이크로소프트 Office 365 및 G Suite 사용자의 약 60%가 IMAP 기반의 패스워드 스프레이 공격의 타깃이 되었으며 그 결과 공격을 받은 사용자들 중 약 25%가 계정을 탈취 당했다고 밝혔다.

연구원들 조사 결과 사이버 범죄자가 조직을 대상으로 사용자 계정을 해킹할 때, 약 44%에 달하는 성공률에 도달했다고 결론지었다.

조직의 핵심적인 업무 기능이 클라우드로 이전함에 따라 사이버 범죄자들은 레거시 프로토콜을 악용해 클라우드 어플리케이션 사용자들을 노리고 있다.

모니터링되고 있는 클라우드 사용자 계정, 수 백만 개에 약 10만 번의 로그인 시도가 발생했으며, 다음과 같은 내용을 발견했다.

-72%의 사용자들이 공격자에게 최소한 한 번 이상 공격의 타깃이 되었다.

-40%의 사용자들이 자신이 사용하는 환경에서 최소한 한 번 이상 해킹 당했다.

-2% 이상의 액티브 사용자 계정이 공격의 타깃이 되었다.

-액티브 사용자 계정 10,000개 중 15개 꼴로 공격이 성공했다.

IMAP 기반 패스워드 스프레이 캠페인은 다단계 인증으로 보호된 Office 365 및 G Suite 계정을 해킹하는데 사용되었으며, 2018년 9월부터 2019년 2월까지 공격 횟수가 크게 증가했다.

보안전문가들은 "이 공격은 주로 회사 임원 및 비서와 같은 공격 가치가 높은 사용자들을 노렸다. 대부분의 공격자들은 나이지리아 IP 주소를 이용했으며 성공적인 공격들 중 약 40%가 나이지리아에서 26%가 중국에서 발생했다"고 밝혔다.

프루프포인트 보고서에는 공격자들은 전 세계적으로 탈취한 수천 개의 취약한 라우터와 서버를 포함한 네트워크 장치를 공격 플랫폼으로 활용했으며 이를 활용해 평균 2.5일마다 새로운 피해자 계정에 접근했다고 밝혔다.

공격자들은 탈취한 클라우드 계정을 사용해 조직 내부에 피싱 메일을 보내 악성 프로그램을 전파해 조직 전체를 감염시켰다.

그리고 이메일 전달 규칙을 수정하거나 위임 설정을 활용해 액세스 상태를 유지하고 중간자 공격(MITM, Man in the middle Attack)을 이용했다.

공격자가 탈취한 계정은 공개적으로는 신뢰할 수 있는 계정이기 때문에 지하 시장에 판매되거나, 다른 회사에 피싱 캠페인을 보내거나, 기업의 기밀 정보에 접근하는 용도로 활용될 수 있다.

이러한 공격은 대학교, 고등학교 등의 교육 기관이 특히 취약하며 소매업, 금융업 등 다양한 분야의 회사들도 타깃이 될 수 있다.

그리고 공격자가 직원 급여 시스템이나 회사의 은행 계정을 탈취하면, 급여 지급 경로를 바꾸거나 재무 문서에 접근하여 공격자의 계정으로 자금을 송금할 수도 있다.

이스트시큐리티 측은 "클라우드 서비스를 이용하는 회사들은 인증 우회 공격에 대처하기 위해 사용자 교육을 포함한 지능적인 보안 대책 마련이 필요하다"며 ".또한 서비스 계정과 공유 메일 계정 관리자의 경우 취약한 비밀번호 사용을 지양하고 복잡한 비밀번호 규칙을 이용하여 비밀번호 관리를 해야 하며, 계정 관리에 각별한 주의를 기울여야 한다"고 강조했다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★