[NOM@L 취약점 분석 보고서] 로그인 계정 탈취 공격 분석
MS365로 위장한 악성 html 파일 심층분석
최근 사이버 공격은 기업의 보안 시스템 중 가장 약한 부분을 찾아내도록 공격 대상에 맞춰 고도화되고있다. 공격자는 업무 문서로 위장한 악성 이메일을 임직원들에게 배포하고 무심코 이를 클릭한 사용자를 통해 로그인 계정을 탈취한다. 탈취한 계정 정보를 통해 내부망에 접속한 뒤 별다른 제약없이 영업정보 시스템에 접속하거나 고객 정보, 회사 기밀 등이 보관된 데이터 저장소에도 쉽게 접근할 수 있어 이러한 공격은 가장 많이 사용되는 공격 기법이다.
최근 시큐레터는 로그인 계정 탈취를 목적으로 이메일에 자주 유입된 악성 파일을 발견했고 현재도 동일한 형식의 악성 파일을 지속적으로 확인하고 있다. 해당 악성 파일은 일반적으로 기업에서 사용하는 MS365를 이용한 html 파일이며, 파일을 열람하면 사용자에게 계정 로그인을 유도한다. 실제 MS365 계정 로그인 창과 동일한 화면이 보여지며, 로그인을 완료하면 정상적인 URL이 아닌 공격자가 숨겨 놓은 악성 URL로 연결되기 때문에 각별한 주의가 필요하다.
이번 보고서에서는 이와 같이 이메일을 통해 유입 중인 ‘MS365로 위장한 악성 html 파일’에 대해 면밀히 살펴보고 선제적으로 대응할 수 있는 방안을 제시하고자 한다.
[기본 정보]
- 파일 확장자 및 용량 : html / 300KB(대용량)
- 파일 구성: 대량의 인코딩 된 데이터 및 이를 출력하는 자바스크립트로 구성
- 파일 목적: MS365 사용자 계정 비밀번호 입력을 유도하여 계정정보 탈취
※ 아래 PDF 파일을 다운로드하여 자세한 내용을 확인해 보세요.
[NOM@L 취약점 분석 보고서] 로그인 계정 탈취 공격 분석
1 파일 565.62 KB