New Report
Menlo Security Named a Leader in GigaOm Radar Report for Secure Enterprise Browsing
Icon Rounded Closed - BRIX Templates

악의적인 프록시 피싱 공격이 실제로 발생했습니다

|
__wf_예약_상속

핵심 요약

Menlo Labs는 최근 은행 및 금융 서비스, 보험 제공업체, 자산 관리 및 부동산, 제조업을 비롯한 다양한 산업 분야의 고위급 임원을 대상으로 하는 피싱 캠페인을 확인했습니다.

피싱 캠페인에 대한 연구를 기반으로 한 주요 결과는 다음과 같습니다.

  • 이 캠페인은 7월에 시작되어 8월까지 계속되었습니다.
  • 이 캠페인은 클라이언트와 합법적인 사이트 간의 요청을 가로채는 리버스 프록시 역할을 하는 'EvilProxy'라는 정교한 피싱 키트를 사용했습니다.
  • 'EvilProxy'는 세션 쿠키를 수집하여 피싱에 강하지 않은 MFA를 우회하는 기능을 가지고 있습니다.
  • 이 캠페인은 주로 미국 기반 조직을 대상으로 진행되었습니다.
  • 위협 행위자들은 구직 플랫폼 “indeed.com”의 오픈 리다이렉션 취약점을 활용하여 피해자를 Microsoft를 사칭하는 악성 피싱 페이지로 리디렉션했습니다.

이는 위협 행위자가 MFA 보호를 우회할 수 있도록 하는 세션 쿠키를 수집하여 AiTM (Adversary In The Middle) 피싱 공격의 전형적인 예입니다.

위협 인텔리전스

2023년 7월, 멘로 시큐리티 히트 실드 Microsoft를 사칭하는 피싱 페이지로 피해자를 리디렉션하는 'indeed.com' 웹 사이트의 공개 리디렉션과 관련된 신종 피싱 공격을 탐지하고 차단했습니다.따라서 의심하지 않는 피해자는 리디렉션이 'indeed.com'과 같은 신뢰할 수 있는 출처에서 발생한 것이라고 믿게 됩니다.

Example of phishing email
그림 1: 피싱 메일 샘플

위협 행위자들은 'EvilProxy'라는 서비스형 피싱 플랫폼을 사용하여 피싱 페이지를 배포하는 것으로 밝혀졌습니다.이 서비스는 다크 웹에서 구독 기반 서비스로 광고 및 판매되며 플랜 유효 기간은 10일, 20일, 31일 사이입니다.'John_Malkovich'라는 이름으로 알려진 배우 중 한 명이 서비스를 구매한 고객을 돕는 관리자 및 중개자 역할을 합니다.

이 캠페인은 다양한 부문에 걸쳐 미국에 기반을 둔 조직의 최고 경영진 및 기타 주요 경영진을 대상으로 했습니다.

아래 차트는 캠페인이 목표로 하는 다양한 분야를 보여줍니다.

pie chart showing target vertical distribution, with the most common verticals being manufacturing, property management and real estate, banking, and insurance
그림 2: 대상 작품 분포

이 데이터는 URLScan, 피쉬탱크 및 VirusTotal 피드를 통해 수집된 정보를 바탕으로 수집되었습니다.

감염 벡터

감염 벡터는 신뢰할 수 있는 출처 (예: 'indeed.com') 에서 온 것처럼 속이는 방식으로 제작된 링크와 함께 전달된 피싱 이메일이었습니다.피해자가 링크를 클릭하면 가짜 Microsoft Online 로그인 페이지로 리디렉션됩니다.

어택 킬 체인

단계별 분석을 포함한 공격 킬 체인의 묘사는 아래와 같습니다.

flowchart showing steps of attack
그림 3: 공격 체인 표현
  • 피해자는 인디드 링크가 포함된 피싱 메일을 수신합니다.
  • 의심하지 않는 피해자는 메일 안의 실제 링크를 클릭하여 피해자를 가짜 Microsoft 로그인 페이지로 리디렉션합니다.
  • 이 피싱 페이지는 합법적인 로그인 사이트에서 모든 콘텐츠를 동적으로 가져오는 EvilProxy 피싱 프레임워크의 도움으로 배포됩니다.
  • 피싱 사이트는 요청을 실제 웹사이트로 프록시하는 역방향 프록시 역할을 합니다.
  • 공격자는 합법적인 서버의 요청 및 응답을 가로채습니다.
  • 공격자는 세션 쿠키를 훔칠 수 있습니다.
  • 도난당한 쿠키는 피해자로 가장하고 피싱 방지 기능이 없는 MFA를 우회하여 합법적인 Microsoft Online 사이트에 로그인하는 데 사용될 수 있습니다.

기술 세부 정보

오픈 리다이렉션 취약점이란 무엇입니까?

개방형 리디렉션은 응용 프로그램이 의도적으로 또는 실수로 인해 신뢰할 수 없는 외부 도메인으로 리디렉션을 일으킬 때 발생합니다.이 결함은 리디렉션 소스의 신뢰성을 악용하여 궁극적으로 피해자를 피싱 사이트나 멀웨어를 지원하는 손상된 사이트로 리디렉션하는 데 사용될 수 있습니다.

이 특정 공격에서 사용자는 자신이 indeed.com 또는 다른 하위 도메인으로 연결되고 있다고 믿고 URL을 클릭합니다.하위 도메인 't.indeed.com'에는 아래 예와 같이 클라이언트를 다른 대상 (example.com) 으로 리디렉션하는 매개 변수가 제공됩니다.URL에서 “?” 뒤에 오는 파라미터indeed.com에 고유한 매개 변수와 대상 URL로 구성된 인수를 포함하는 대상 매개 변수의 조합입니다.따라서 사용자가 URL을 클릭하면 example.com으로 리디렉션됩니다.실제 공격에서는 사용자가 피싱 페이지로 리디렉션됩니다.

HTTP 헤더 요청 및 응답은 취약성으로 인한 리디렉션 체인을 보여줍니다.

Example of open redirection with youtube.com as the target URL
그림 4: 대상 URL에 youtube.com을 사용한 오픈 리디렉션을 예로 들어 설명합니다.
Screenshot of phishing page
그림 5: 피싱 페이지의 스크린샷

위협 행위자들은 역방향 프록시 역할을 하는 EvilProxy 피싱 키트를 사용했습니다. 이 키트는 사용자 세션 쿠키를 훔쳐 중간 공격을 수행하여 MFA를 우회하는 2단계 인증을 성공적으로 우회하는 데 도움을 주었습니다.

공격자 인프라

피싱 리디렉션 체인은 세 부분으로 구성됩니다.

  • 피해자가 받은 피싱 링크
  • 리디렉터 URL
  • 피싱 페이지

아래 다이어그램은 이 특정 공격의 리디렉션 체인을 보여줍니다.

chart showing 302 redirects
그림 6: 피싱 리디렉션 체인

피싱 페이지 기술 설명

피싱 페이지에는 'lmo. '라는 하위 도메인이 있는 것으로 확인되었으며 특히 Microsoft Online 로그인 페이지를 사칭했습니다.피싱 페이지는 역방향 프록시 역할을 할 수 있는 nginx 서버에서 호스팅되는 것으로 확인되었습니다.리버스 프록시는 로그인 페이지와 같이 동적으로 생성될 수 있는 모든 콘텐츠를 가져온 다음, 피해자와 합법적인 사이트 간의 요청과 응답을 가로채서 중간에 적대자 역할을 합니다.이는 세션 쿠키를 수집하는 데 도움이 되며, 이러한 수법은 EvilProxy 피싱 키트를 사용했기 때문일 수 있습니다.

이블프록시 어트리뷰션

EvilProxy 사용으로 인한 것일 수 있는 아티팩트가 관찰되었습니다.

  • Shodan에서 제공하는 URLScan에서는 이러한 도메인이 Nginx 서버에서 호스팅되는 것을 확인할 수 있습니다.
  • 피싱 페이지는 식별에 사용할 수 있는 아래 나열된 공통 URI 경로를 포함하는 리소스를 호스팅했습니다.
  • 1) /테스트/2.1/콘텐츠/
  • 2) /공유/1.0/콘텐츠/
  • 3) /오피스 허브/번들/
  • 피싱 키트는 Microsoft의 Ajax CDN을 사용하여 자바스크립트 콘텐츠의 동적 가져오기 및 렌더링을 지원합니다.uri 경로에서 이러한 특정 문자열을 찾아내면 EvilProxy uri 콘텐츠를 탐지하도록 구축된 IDS 시그니처에서 해당 문자열을 확인할 수 있습니다.
Code snippet
Code snippet
  • 관찰된 POST 요청 중 하나에는 피해자의 이메일 주소 (일부 경우 Base64로 인코딩) 와 세션 식별자가 포함됩니다.이는 EvilProxy 피싱 키트를 사용할 때 나타나는 독특한 아티팩트이기도 합니다.IDS 규칙은 아래와 같은 것과 동일합니다.
  • POST 요청의 예: https://lmo[.]bartmfil[.]com/?C29TZW9UZUBZB21LB25LLM9YZW==&session=E6EC0FE49FBFB31608198B22EAA2D0FE49FBFB31608198B22EAAA2D00F&SO_RELOAD=True
POST request
  • 관찰된 또 다른 코드는 브라우저 핑거프린팅을 위한 오픈 소스 FingerprintJS 라이브러리를 사용하는 것입니다.Domblockers 모듈은 브라우저가 차단하는 특정 요소를 식별하는 데 광범위하게 사용되었습니다. https://github.com/fingerprintjs/fingerprintjs/blob/master/src/sources/dom_blockers.ts
  • 407 프록시 인증 필요 클라이언트 오류 상태 코드가 있는 IP 주소를 찾으십시오.
IP addresses with a 407 Proxy Authentication Required client error status code
IP addresses with a 407 Proxy Authentication Required client error status code
  • 또 다른 방법은 표준 Nginx 서버 응답인 444 상태 코드가 있는 사이트를 찾는 것입니다. (lmo) 와 같은 하위 도메인이 있는 백엔드에서 nginx 서버가 실행되는 사이트., 인증., 라이브., 로그인-라이브., mso.*)

멘로 프로텍션

Menlo는 고객 중 한 명을 대상으로 이 캠페인을 관찰한 결과, 우리의 노력 덕분에 이러한 위협을 성공적으로 제거할 수 있었습니다. 히트 실드.HEAT Shield는 실시간 분석 기능 덕분에 이러한 피싱 시도를 즉시 탐지하고 방지할 수 있었습니다.HEAT Shield는 URL 평판 서비스 및 기타 보안 공급업체가 이 페이지를 악의적인 행위로 신고하기 훨씬 전에 AI 기반 탐지 모델을 활용하여 렌더링된 웹 페이지를 분석함으로써 피싱 사이트를 성공적으로 탐지할 수 있었습니다.또한 HEAT Shield는 이 과정에서 제로 아워 피싱 탐지 경보를 생성하는데, 이는 SOC 분석가에게 위협의 컨텍스트와 연구를 적절하게 뒷받침하는 풍부한 데이터를 제공함으로써 SOC 분석가에게 더 큰 가시성을 제공합니다.

HEAT Shield는 초기 액세스 단계 (MITRE ATT&CK 프레임워크) 부터 공격 벡터를 차단하여 자격 증명 수집 및 계정 침해로부터 사용자를 보호하고, 회피성이 높은 이러한 위협에 대처하기 위한 사전 예방적 접근 방식을 적용하여 보안이 구현되는 방식을 재정의합니다.빠르게 진화하는 위협 환경으로 인해 우리는 한 발 앞서 나가서 설계상 제로 트러스트에 투자하는 것이 필수적입니다.

결론

다양한 출처에서 수집 및 분석을 수행한 결과, 위협 행위자가 'EvilProxy' 피싱 키트를 사용하고 특히 'indeed.com' 애플리케이션의 오픈 리디렉션 취약점을 악용하여 Microsoft Online 페이지를 가장하여 자격 증명 피싱 및 계정 침해를 시도했다는 사실을 확신할 수 있습니다.

계정 침해는 공격 체인의 초기 단계에 불과하며, 이러한 공격은 ID 도용, 지적 재산권 도용 및 막대한 재정적 손실에 이르기까지 다양한 잠재적 영향을 미칠 수 있는 비즈니스 이메일 침해로 이어질 수 있습니다.

'EvilProxy'의 사용량이 급증하는 것을 볼 수 있는 확률이 높습니다.첫째, 다크 웹에서 쉽게 구할 수 있는 튜토리얼과 문서를 갖춘 간단한 인터페이스로 사용이 간편합니다.MFA를 우회할 수 있기 때문에 사이버 범죄자들이 MFA를 무기로 사용할 수 있는 강력한 도구입니다.

권장 사항

  1. 인식 세션과 교육을 통해 사용자를 교육합니다.
  2. Yubikeys와 같은 FIDO 기반 인증과 같은 피싱 방지 MFA의 사용
  3. 대상 URL이 안전하다고 가정하지 말고 원본 URL만큼 합법적인지 확인하세요.
  4. 제로 아워 피싱 공격으로부터 사용자를 실시간으로 보호하는 HEAT Shield와 같은 세션 격리 솔루션을 사용하십시오.

책임 있는 정보 공개

Menlo Labs는 Indeed.com에 연락하여 오픈 리다이렉트 취약점의 존재와 이 취약점이 실제로 악용되고 있다는 사실을 알렸습니다.이 위협이 야기하는 심각성과 심각성에 대한 정보를 받았습니다.

IOC

도메인

lmo [.] roxylvfuco [.] com [.] au
lmo [.] bartmfile [.] com
lmo [.] 트리펄리드 [.] 컴
roxylvfuco [.] com [.] au
earthscigrovp [.] com [.] au
mscr.earthscigrovp [.] com [.] au
vfuco.com [.] au
카탈로그 요약 [.] com
ivonnesart [.] .com
셰리던와이오라이브러리 [.] org

IP

199.204.248.121
193.239.85.29
212.224.107.74
206.189.190.128
116.90.49.27
85.187.128.19
202.139.238.230

참고 문헌

https://www.resecurity.com/blog/article/evilproxy-phishing-as-a-service-with-mfa-bypass-emerged-in-dark-web
https://www.proofpoint.com/us/blog/email-and-cloud-threats/cloud-account-takeover-campaign-leveraging-evilproxy-targets-top-level
https://learn.microsoft.com/en-us/aspnet/ajax/cdn/overview
http://www.boredhackerblog.info/2022/11/looking-for-evilproxy-notes.html
https://www.darkreading.com/vulnerabilities-threats/evilproxy-commodifies-reverse-proxy-tactic-phishing-bypassing-2fa
https://www.microsoft.com/en-us/security/blog/2022/07/12/from-cookie-theft-to-bec-attackers-use-aitm-phishing-sites-as-entry-point-to-further-financial-fraud/

Menlo Security

menlo security logo
__wf_예약_상속__wf_예약_상속__wf_예약_상속__wf_예약_상속