해커즈뉴스 / 해커대학

Donation bitcoin(기부용 비트코인 주소)

 
1Pq3K39XM5xx4CifGKgppXeavtWNNHH7K4
 
기부하신 비트코인은 "보안 취약 계층"을 위해 사용되고 있습니다.
 
 

Donation bitcoin(기부용 비트코인 주소)

 
1Pq3K39XM5xx4CifGKgppXeavtWNNHH7K4
 
기부하신 비트코인은 "보안 취약 계층"을 위해 사용되고 있습니다.
 

공지

 

1. 크롬 브라우저로 접속시 나오는 악성코드 경고창은 구글 크롬의 에러, 즉 오탐(탐지 오류)이므로 무시하시면 됩니다.

2. 이 사이트는 안전하며 깨끗하다는 것을 알려 드립니다.

 

  ▒   [해커대학 - hackers college]   ▒  

작성자: 해커즈뉴스
장르: 해킹
2020/6/19(금)
조회: 265
MS 365 해커들, 옥스퍼드대 이메일 서버·삼성 도메인 '뚫었다'  
center
최근 발견된 MS 오피스 365 위장 피싱 메일 이미지. 사진=체크포인트 갈무리

해커들이 옥스퍼드 대학교 이메일 서버를 탈취해 마이크로소프트 오피스 365 크리덴셜(개인 신상 암호화 정보)을 수집, 악성 메일을 전송하는 데 악용하고 있는 것으로 드러났다. 특히 해커들은 이 같은 메일 탈취를 위해 어도비 서버에서 호스팅 된 삼성전자의 예전 도메인(2018년 사이버 먼데이에 설정된 도메인)을 활용했으며, 송신 이메일 도메인은 옥스포드 대학교 부서 소속으로 위장했다. 이 공격은 주로 유럽을 포함한 아시아, 중동 지역 이용자들을 상대로 나타났다.

18일(현지 시간) 포브스에 따르면, 사이버 보안업체 체크포인트는 이 같은 피싱 메일 전송 전황을 발견하고 관련 보고서를 발표했다.

악성 메일을 보내기 위해 해커들은 옥스퍼드 대학, 어도비, 삼성 등 평판 높은 브랜드를 차용해 피해자들이 본인의 MS 오피스 365 계정 정보를 넘기도록 속였다.

체크포인트의 로템 핀켈스타인(Lotem Finkelstein) 연구원은 "공격자들은 송신자들이 도메인 평판 체크를 우회해 접근했고, 이메일 주소를 원하는 만큼 생성할 수 있어서 피싱 메일 발송을 위해 이메일 계정을 해킹할 필요도 없었다"고 설명했다.

이 같은 해킹 활동은 지난 4월 체크포인트 연구원들이 오피스 365 음성 메시지로 위장한 의심스러운 이메일을 확인하다 발견했다. 이 악성 메일은 메일을 받은 이용자들에게 오피스 365 계정으로 이동하도록 보이는 링크 이동 단추를 표시했다. 아울러 메일 상단에 '신뢰할 수 있는 서버 메시지'라는 알림을 뜨게 했다.

공격자들은 삼성 도메인을 사용해 피해자를 MS 오피스 365 테마를 가장한 어도비 이메일 마케팅 관련 웹페이지로 리디렉션하도록 하는 방법을 사용했다. 즉 삼성과 같은 평판 좋은 도메인 액세스가 보안 소프트웨어에 의해 차단되지 않는 점을 활용했다고 체크포인트 측은 밝혔다.

공격자들이 차용한 이같은 리디렉션 메커니즘은 이용자를 방금 클릭한 URL에 지정된 대상으로 리디렉션하게 해 광고에 대한 지속성을 측정하고 모니터링할 수 있게 해준다.

일단 공격자들은 메일을 통해 누락된 오피스 365 보이스 메일 확인 관련 이메일을 피해자들에게 전달했다. 메일을 클릭하면 MS계정으로 이동해 해당 음성 메시지를 들을 수 있게 해주는 듯한 링크 단추가 들어있다.

피해자들이 단추를 클릭하고 오피스 365 페이지로 들어갔을 경우 리디렉션 과정은 두 단계로 전개된다. 가장 먼저 합법적인 도메인의 기존 리디렉션 체계를 보여주고, 그 이후엔 이용자를 손상된 워드프레스 사이트로 옮기도록 한다.

대부분 이메일은 영국 옥스퍼드 대학교의 여러 부서에서 쓰이는 '합법적인' 하위 도메인 소속 주소로 돼 있었다.

체크포인트 분석 결과, 공격자들은 옥스퍼드의 SMTP(전자메일 전송을 위한 표준 프로토콜) 서버 중 하나를 악용할 방법을 찾았고, 이를 통해 발신자 도메인에 대한 평판 확인을 우회할 수 있었다.

또한, 실제 이메일 해킹을 통한 도용 없이도 그럴싸한 이메일 주소를 생성할 수 있었던 것으로 파악됐다. 아울러 각 피해자에게 고유한 URL을 할당하고, 피해자들이 별도의 가상 워드프레스 사이트에 접속해 피싱 공격을 받게 했다.

현재 어도비 역시 이런 공격 유형 존재를 파악했으며, 고객사 서버를 통해 발생되는 이런 유형의 공격을 예방하기 위해 적절한 조처를 한 상황이라고 체크포인트는 덧붙였다.


  이름   메일   관리자권한임
  내용 입력창 크게
                    답변/관련 쓰기 폼메일 발송 수정/삭제     이전글 다음글    
번호장르제 목작성일
5673 해킹    해킹당한 내 카드, 해외서 결제?…60일 내 신고하면 보상받는다 2020/06/20
5672 해킹    2016년 대선 당시 여론 조작했던 자들, 이미지 적극 활용했다 2020/06/19
5671 해킹    MS 365 해커들, 옥스퍼드대 이메일 서버·삼성 도메인 '뚫었다' 2020/06/19
5670 해킹    CIA 역사 최악의 해킹 사건, 사실 CIA가 자초한 것이었다 2020/06/19
5669 해킹    북한, 남북연락사무소 폭파 후 靑 겨냥해 해킹 공격 2020/06/19
5668 해킹    호주 "정부 등 전방위 해킹 공격 받아"…中 용의선상 2020/06/19
5667 해킹    반복되는 개인정보 유출…해커는 이미 '빅브라더'로 2020/06/18
5666 해킹    COVID-WHO-MASK 등 이메일 제목 해킹 조심! 2020/06/18
5665 해킹    코로나 틈탄 스미싱·해킹 기승…올들어 사이버 공격 310만건 2020/06/18
5664 사건사고    “해킹 돕겠다” 접근···해킹범 속인 그 은행원은 위장경찰이었다 2020/06/18

 
목록