it

ConsentFix v3 공격, 자동화된 OAuth 남용으로 Azure를 목표로.

발행: (2026년 5월 2일 PM 11:32 GMT+9)
7 분 소요
원문: Bleeping Computer

Source: Bleeping Computer

피싱 이미지

Overview

새로운 공격 유형인 ConsentFix v3가 해커 포럼에서 퍼지고 있으며, Microsoft Azure에 대한 공격을 자동화하는 개선된 기법으로 소개되고 있습니다.

첫 번째 버전인 ConsentFix는 지난해 12월 Push Security가 발표했으며, OAuth 피싱 공격용 ClickFix의 변형으로, 피해자를 Azure CLI를 통한 정식 Microsoft 로그인 흐름을 완료하도록 속입니다. 사회공학 기법을 이용해 공격자는 피해자가 OAuth 인증 코드를 포함한 localhost URL을 붙여넣도록 유도하고, 이를 통해 토큰을 획득해 비밀번호 없이 계정을 탈취합니다. 이 과정은 다중 인증(MFA)에도 불구하고 가능합니다.

ConsentFix v2는 연구원 John Hammond이 개발했으며, Push의 원본을 다듬어 수동 복사·붙여넣기를 localhost URL을 끌어다 놓는 방식으로 대체했습니다. 이로써 피싱 흐름이 보다 원활하고 설득력 있게 변했습니다.

ConsentFix v3는 OAuth2 인증 코드 흐름을 악용하고 사전 신뢰·사전 동의된 Microsoft 자체 앱을 표적으로 삼는 핵심 아이디어를 유지하면서도 자동화와 확장성을 추가했습니다.

ConsentFix v3 공격 흐름

해커 포럼에서 새 기술이 홍보되는 정보를 바탕으로, 공격은 대상 환경에 Azure가 존재하는지 확인하기 위해 유효한 테넌트 ID를 검사하는 것으로 시작됩니다. 그 다음에는 사칭을 지원하기 위해 이름, 역할, 이메일 주소와 같은 직원 정보를 수집합니다.

그 후, 공격자는 Outlook, Tutanota, Cloudflare, DocSend, Hunter.io, Pipedream 등 여러 서비스에 계정을 다수 생성하여 피싱, 호스팅, 데이터 수집 및 유출 작업을 지원합니다.

Push Security 연구원은 Pipedream(무료 서버리스 통합 플랫폼)이 공격 자동화의 핵심 역할을 수행한다며 세 가지 중요한 역할을 꼽았습니다:

  • 피해자의 인증 코드를 받는 웹훅 엔드포인트 역할
  • 해당 코드를 Microsoft API를 통해 즉시 리프레시 토큰으로 교환하는 자동화 엔진 역할
  • 캡처된 토큰을 실시간으로 공격자에게 제공하는 중앙 수집기 역할

Pipedream model
Pipedream 모델 생성 – Source: Push Security

다음 단계에서는 공격자가 Cloudflare Pages에 호스팅된 피싱 페이지를 배포합니다. 이 페이지는 정식 Microsoft/Azure 인터페이스를 모방하고 Microsoft 로그인 엔드포인트를 통해 실제 OAuth 흐름을 시작합니다. 피해자가 페이지와 상호작용하면 OAuth 인증 코드가 포함된 localhost URL로 리다이렉트되며, 피해자는 이를 페이지에 붙여넣거나 끌어다 놓도록 속아 넘어갑니다. 이를 통해 데이터 유출 파이프라인이 작동합니다: 페이지는 캡처된 URL을 Pipedream 웹훅으로 전송하고, 백엔드 자동화가 즉시 인증 코드를 토큰으로 교환합니다.

피싱 이메일은 수집된 데이터를 기반으로 고도로 개인화될 수 있으며, 신뢰성을 높이고 스팸 필터를 우회하기 위해 DocSend에 호스팅된 PDF 내부에 악성 링크가 삽입됩니다.

Email generation
맞춤형 피싱 이메일 생성 – Source: Push Security

후속 단계에서는 획득한 토큰을 Specter Portal에 임포트하여 공격자가 손상된 Microsoft 환경과 상호작용하고, 토큰이 허용하는 이메일, 파일 및 계정에 연결된 기타 서비스와 같은 리소스에 접근할 수 있게 합니다.

Push Security는 ConsentFix v3 테스트가 개인 Microsoft 계정을 기반으로 진행되었으며, 따라서 전체 영향은 권한, 서비스 및 테넌트 설정에 따라 달라진다고 밝혔습니다.

완화

ConsentFix 위험을 완화하는 것은 어려운 일입니다. 이는 기본 제공 앱에 대한 신뢰가 아키텍처 수준에 걸쳐 있기 때문입니다. Family of Client IDs (FOCI) 연구에 따르면 Microsoft 애플리케이션은 권한 및 리프레시 토큰을 공유하며, 이는 공격자가 악용할 수 있습니다. 관리자는 다음과 같이 노출을 줄일 수 있습니다:

  • 신뢰할 수 있는 장치에 토큰 바인딩 적용.
  • 비정상적인 토큰 사용에 대한 행동 탐지 규칙 설정.
  • 앱 인증 제한 적용 (예: 어떤 클라이언트 ID가 민감한 리소스에 접근할 수 있는지 제한).

ConsentFix 공격이 실제 캠페인에서 사용되고 있지만, v3 변형이 사이버 범죄자들 사이에서 아직 크게 확산되었는지는 명확하지 않습니다.

0 조회
#Azure #OAuth #phishing #ConsentFix #MFA bypass #cloud security #cybersecurity
원문 보기
Share:
Back to Blog

관련 글

더 보기 »