LayerX Labs는 Microsoft 보안 알림을 가장하여 피해자를 유인하여 로그인 자격 증명과 지불 세부 정보를 공유하도록 하는 새로운 제로데이 피싱 캠페인을 발견했습니다.
이 공격은 Microsoft Windows Defender 보안 경고를 흉내내어 사용자에게 핫라인 번호로 전화해 자격 증명을 입력하고 콜센터에 비용을 지불해 컴퓨터를 '보안'하라고 촉구합니다.
이 공격은 특히 기존 보안 도구를 회피하도록 설계된 여러 회피 기술을 사용했기 때문에 보안 웹 게이트웨이(SWG) 및 보안 서비스 에지(SSE) 솔루션과 같은 기존 네트워크 보안 메커니즘을 침투할 수 있었습니다.
이 블로그에서는 이 사고의 세부 정보를 공유하고, 사고의 독특한 점과 기존의 보안 메커니즘을 통과한 이유, 그리고 이와 유사한 시도로부터 자신(및 조직)을 보호할 수 있는 방법을 설명하겠습니다.
사건: Microsoft Alert 사기
이 공격은 LayerX의 대규모 기업 고객 중 하나의 환경에서 확인되었으며, 여러 계층의 네트워크 보안 제어를 우회했지만 피해를 입히기 전에 LayerX가 자동으로 차단했습니다.
이 공격은 간단하면서도 효과적인 전략을 사용합니다. 즉, Microsoft Windows Defender 경고와 비슷한 웹 페이지를 만들어 해당 컴퓨터가 맬웨어에 감염되었다고 주장하는 것입니다.
이 메시지에는 사용자의 기기가 맬웨어에 감염되었으며, 즉각적인 지원을 위해 지원 번호로 전화하라고 촉구하는 내용이 들어 있습니다.
페이지를 떠나려고 시도한 사용자에게는 기기가 잠겨 있다는 메시지가 표시되었으며, 로그인하려면 자격 증명을 입력해야 했습니다.
우리가 테스트한 몇몇 사례에서는 페이지 코드가 웹 브라우저를 정지시켜 Microsoft의 보안 차단을 모방한 후 다시 가짜 보안 헬프라인 번호로 전화하라고 요구했습니다.
이런 유형의 사회 공학은 의심하지 않는 사용자의 긴박감과 불안을 이용합니다. 보안 비상 상황을 시뮬레이션함으로써 공격자는 사용자에게 즉시 행동하도록 촉구하여 경고를 너무 자세히 살펴볼 시간을 갖지 않도록 합니다.
여러 계층의 위험
공격자는 일반적으로 피싱 전술을 사용하여 사용자를 속여 정보를 공유하거나 시스템에 대한 액세스를 제공하도록 합니다. 고급 감지가 없다면 사용자는 공격에 노출되어 다음과 같은 위험에 처할 수 있습니다.
- 공격자는 제공된 핫라인 번호로 전화를 걸어 몸값을 지불하거나 시스템에 대한 원격 액세스 권한을 부여하도록 조종할 수 있습니다.
- 피싱 사이트에 자격 증명을 입력하면 공격자는 이를 훔쳐 계정을 인수하는 데 사용할 수 있습니다.
- 해당 사용자 정보가 보다 정교한 공격에 활용되거나 다크 웹에서 판매되고 있습니다.
기존 방어가 실패한 이유
많은 조직이 브라우징 위협과 피싱 공격을 처리하기 위해 보안 웹 게이트웨이(SWG) 솔루션을 배포합니다. 그럼에도 불구하고 이 공격은 LayerX 고객에서 감지되었으며, 이 공격은 조직의 SWG를 우회했습니다. 이는 SWG 및 이메일 게이트웨이와 같은 네트워크 계층 방어가 일반적으로 두 가지 주요 방법에 의존하기 때문입니다.
- 알려진 악성 URL 차단 목록
- 알려진 피싱 페이지의 서명
이 공격은 다음과 같은 이유로 두 가지 모두를 우회할 수 있었습니다.
1. 합법적인 호스팅 도메인
공격자는 피싱 페이지를 합법적인 Microsoft 호스팅 도메인인 windows[.]net에 호스팅했습니다.
Windows[.]net은 개발자가 .net 및 Azure 웹 애플리케이션을 호스팅할 수 있는 Microsoft의 플랫폼입니다. 즉, 피싱 페이지는 Microsoft 자체 인프라에 상주했습니다. 결과적으로 이 페이지는 높은 최상위 도메인(TLD) 평판을 누렸습니다.
이를 통해 외부 관찰자에게는 이 페이지가 Microsoft의 합법적인 페이지로 보였고 기존의 URL 기반 방어 시스템을 우회할 수 있었습니다.
URL 기반 방어 솔루션이 악성 활동을 식별하더라도 일반적으로 ULR을 차단하지 못합니다. `windows.net` 아래의 모든 하위 도메인을 차단하면 Microsoft에서 호스팅하는 수많은 합법적 서비스가 중단되어 조직의 운영에 문제가 발생하기 때문입니다.
2. 제로아워 랜덤 서브도메인
공격자는 다음을 사용했습니다. 무작위 하위 도메인 탐지를 피하기 위해 LayerX 랩은 `pushalm83e.z13.web.core.windows[.]net`을 캡처했습니다. 그러나 이러한 도메인 문자열은 쉽게 생성되고 자주 회전할 수 있습니다.
이를 통해 공격자는 해당 페이지가 기존 위협 정보나 URL 블랙리스트와 일치하지 않는지 확인할 수 있습니다. 종종 "제로 아워" 기술이라고 하는 이 전술을 통해 피싱 사이트는 피해자를 가두기 위해 온라인 상태를 유지할 수 있으며, 피해자가 다운되고 다른 무작위 하위 도메인으로 이동하기 전까지만 가능합니다.
3. 낮은 피싱 키트 유사성
피싱 페이지의 디자인은 참신했고 피싱 키트에서 일반적으로 볼 수 있는 기존 템플릿, 해시 및 서명과 일치하지 않았습니다. 이를 통해 페이지는 피싱 페이지 유사성 분석에 의존하는 솔루션의 감지를 피할 수 있었습니다.
웹 페이지 내용 자체를 검사하지 않고 피싱 템플릿과 목록에만 의존하는 컨트롤은 진보적이고 창의적인 공격을 통해 우회될 수 있습니다.
하지만 이러한 특징에도 불구하고 LayerX는 이 공격을 적시에 탐지하고 차단할 수 있었습니다.
레거시 방어가 실패했을 때 LayerX가 감지한 이유
기존의 네트워크 보안 도구가 주로 알려진 악성 URL 목록을 활용하는 것과 달리 LayerX는 페이지 동작에 대한 실시간 분석을 통해 URL 필터링을 활용하여 피싱 및 소셜 엔지니어링을 차단합니다.
LayerX의 웹 콘텐츠 실시간 분석은 도메인 평판이나 정적 시그니처에만 의존하지 않습니다. 대신 AI 기반 신경망을 사용하여 이전에 보지 못했던 공격에 대해서도 실시간으로 위험 요소를 감지합니다. 그 결과 피싱 페이지가 사용자에게 자격 증명을 입력하거나 지원 번호로 전화하도록 요청했을 때 LayerX의 솔루션은 즉시 이 시도를 식별하고 의심스러운 것으로 표시하고 자동으로 페이지를 차단하여 잠재적인 손상을 방지했습니다.
LayerX는 사용자 경험에 영향을 미치지 않으면서 오늘날 가장 집중적이고 노출된 공격 표면인 브라우저를 보호한다는 과제를 해결한 최초의 솔루션입니다.
LayerX는 브라우징 세션 중에 발생하는 모든 이벤트와 사용자 활동에 대한 지속적인 모니터링, 위험 분석, 실시간 적용을 통해 모든 웹 기반 위협에 대한 포괄적인 보호 기능을 제공합니다.
기업은 이러한 기능을 활용하여 엔드포인트 및 네트워크 솔루션이 보호할 수 없는 웹 기반 위협 및 브라우징 위험으로부터 기기, ID, 데이터 및 SaaS 앱을 보호합니다. 여기에는 웹, SaaS 앱 및 GenAI 도구를 통한 데이터 유출 차단, 피싱으로 인한 자격 증명 도용 방지, 내부 또는 외부 인력이 SaaS 리소스에 안전하게 액세스하여 계정 인수 위험을 완화하고, 악성 브라우저 확장 프로그램을 발견하고 비활성화하고, Shadow SaaS 등이 포함됩니다.
LayerX Enterprise Browser Extension은 모든 브라우저와 기본적으로 통합되어 가장 안전하고 관리하기 쉬운 작업 공간으로 바꿔줍니다. 자세히 알아보기.
