it

FBI, Microsoft 365 계정을 노리는 Kali365 피싱 서비스 경고

발행: (2026년 5월 25일 PM 09:45 GMT+9)
7 분 소요
원문: Bleeping Computer

Source: Bleeping Computer

FBI는 Kali365 phishing‑as‑a‑service (PhaaS) 플랫폼에 대해 경고하고 있습니다. 이 플랫폼은 OAuth 디바이스 코드 인증을 악용하여 세션 토큰을 탈취하고 다중 인증(MFA)을 우회함으로써 Microsoft 365 계정을 탈취하는 데 사용됩니다.

FBI PSA에 따르면, Kali365는 2026년 4월에 처음 등장했으며, 비밀번호를 훔치거나 MFA 코드를 가로채지 않고도 Microsoft 365 계정을 손쉽게 탈취하려는 사이버 범죄자를 위해 텔레그램 채널을 통해 배포되고 있습니다.

디바이스 코드 피싱

플랫폼은 디바이스 코드 피싱을 사용합니다. 이는 점점 더 많이 사용되는 방법으로, Microsoft의 정식 OAuth 2.0 디바이스 인증 부여 흐름을 악용하여 Microsoft Entra 및 Microsoft 365 계정에 접근합니다.

이 인증 방법은 스마트 TV, 회의실 시스템, 스트리밍 장치, 프린터, IoT 장치 등 입력 기능이 제한된 디바이스가 짧은 코드를 사용해 Microsoft의 디바이스‑코드 로그인 포털에서 다른 디바이스를 통해 인증하도록 설계되었습니다.


디바이스 코드 인증 양식
Source: BleepingComputer

2월에, BleepingComputer가 보고한 바와 같이 ShinyHunters 사이버 범죄 그룹을 포함한 갈취 조직들이 디바이스‑코드 및 보이스 피싱을 통해 Microsoft Entra 계정을 표적으로 삼고 있었습니다.

공격 흐름

  1. 위협 행위자는 스스로 디바이스 인증 프로세스를 시작하여 코드를 생성합니다.
  2. 피싱 및 사회공학을 통해 대상에게 Microsoft 로그인 페이지에 코드를 입력하도록 속입니다.
  3. 피해자가 코드를 입력하고 MFA를 완료하면 Microsoft는 OAuth 액세스 토큰을 발급합니다.
  4. 해당 토큰은 추가 MFA 도전을 요구하지 않고 공격자에게 사용자 계정에 대한 전체 접근 권한을 부여합니다.

공격자는 이후 피해자와 동일한 싱글 사인온 권한을 얻게 되며, Microsoft 365, Salesforce 또는 기타 클라우드 SaaS 플랫폼에 접근하여 데이터를 탈취할 수 있습니다.

FBI 경고: Kali365

  • AI‑생성 피싱 유인
  • 자동화된 캠페인 템플릿
  • 실시간 피해자 추적 대시보드
  • 토큰 캡처 기능

Arctic Wolf의 조사 결과

보안 연구원들은 Arctic Wolf가 2026년 4월에 광범위한 Kali365 활동을 보고했다고 밝혔습니다. 그들의 관찰 내용은 다음과 같습니다:

  • 캠페인은 주로 Microsoft 365 환경을 표적으로 하며, 피싱 이메일을 통해 피해자를 Microsoft의 디바이스 코드 로그인 포털로 유도하고, 이 과정에서 피해자는 자신도 모르게 공격자에게 권한을 부여했습니다.
  • 공격자는 피해자의 메일함에 접근하고 악성 인박스 규칙을 만들어 자신의 활동을 숨겼습니다.
  • 일부 경우에서는 공격자가 피해자의 Microsoft 환경에 새로운 디바이스를 등록하여 foothold를 더욱 확장했습니다.
  • Kali365는 관리자(제품 개발), 리셀러(서비스 홍보), 제휴사(피싱 공격 수행)로 구성된 비즈니스 형태로 운영됩니다.
  • 이 플랫폼은 두 가지 공격 모드를 제공합니다:
    1. 디바이스 코드 피싱 (위에 설명된 방식)
    2. Adversary‑in‑the‑middle (AitM) “Cookie Link” – 공격자가 제어하는 인프라를 통해 피해자를 프록시하고, MFA가 완료된 후 인증된 브라우저 세션, 쿠키 및 토큰을 탈취합니다.

권고 사항

FBI는 조직에 다음을 권고합니다:

  1. Conditional Access 정책을 사용하여 가능한 경우 디바이스‑코드 인증 흐름을 제한하거나 차단합니다.
  2. 기존 디바이스‑코드 사용을 감사하고 불필요한 등록을 제거합니다.
  3. 세션이 디바이스 간에 이동하도록 허용하는 인증 전송 정책을 차단합니다.
  4. Internet Crime Complaint Center (IC3)에 사건을 보고합니다.
  5. 피싱 이메일, 의심스러운 로그인 정보, 무단 디바이스 등록 등 증거를 보존합니다.

관련 위협 행위자 및 서비스

디바이스 코드 피싱은 2026년에 널리 채택되었습니다. 동일한 기법을 활용하는 다른 플랫폼으로는:

이러한 서비스는 또한 디바이스 코드 피싱을 사용하여 Microsoft 365 및 Entra 계정을 표적합니다.

0 조회
#FBI #Kali365 #phishing-as-a-service #Microsoft365 #OAuth #MFA bypass #device code grant #cybersecurity #phishing
원문 보기
Share:
Back to Blog

관련 글

더 보기 »