새로운 VENOM 피싱 공격이 고위 임원들의 Microsoft 로그인 탈취

Source: Bleeping Computer

Overview

위협 행위자들은 VENOM이라는 이전에 문서화되지 않은 피싱‑as‑a‑service (PhaaS) 플랫폼을 이용해 여러 산업 분야의 C‑suite 임원들의 자격 증명을 노리고 있습니다. 이 작업은 최소 작년 11월부터 진행되어 왔으며, CEO, CFO, VP를 주 대상으로 하는 것으로 보입니다. VENOM은 공개 채널이나 언더그라운드 포럼에 홍보되지 않은 폐쇄형 접근 방식으로, 연구자들에게 노출될 가능성이 낮습니다.

The VENOM attack chain

Phishing email

사이버보안 회사 Abnormal의 연구원들이 관찰한 피싱 이메일은 Microsoft SharePoint 문서 공유 알림을 가장해 내부 커뮤니케이션의 일환처럼 가장했습니다. 메시지는 매우 개인화되어 있으며 가짜 CSS 클래스와 주석 같은 무작위 HTML 노이즈가 포함됩니다. 공격자는 또한 대상에 맞춘 가짜 이메일 스레드를 삽입해 신뢰성을 높입니다.

피해자가 접근할 수 있도록 Unicode로 렌더링된 QR 코드가 제공됩니다. 이 트릭은 스캔 도구를 우회하고 공격을 모바일 기기로 전환하도록 설계되었습니다.

피싱 이메일 샘플
Source: Abnormal

“대상의 이메일 주소는 URL 조각(‘#’ 문자 뒤 부분)에서 이중 Base64‑인코딩됩니다,” 라고 Abnormal 연구원들이 설명합니다.
“조각은 HTTP 요청에 절대 전송되지 않으므로, 대상 이메일이 서버‑측 로그나 URL 평판 피드에 보이지 않게 됩니다.”

Landing page filtering

피해자가 QR 코드를 스캔하면 보안 연구원과 샌드박스 환경을 필터링하는 랜딩 페이지로 이동합니다. 이를 통해 실제 대상만 피싱 플랫폼으로 리다이렉트되고, 위협 행위자에게 관심 없는 사용자는 의심을 줄이기 위해 정상 웹사이트로 리다이렉트됩니다.

필터를 통과한 사용자는 Microsoft 로그인 흐름을 실시간으로 프록시하는 자격 증명 수집 페이지로 이동하며, 여기서 자격 증명과 다중 인증(MFA) 코드를 Microsoft API에 전달하고 세션 토큰을 캡처합니다.

VENOM의 AiTM 방식
Source: Abnormal

Adversary‑in‑the‑middle (AiTM) method

AiTM 방식 외에도 Abnormal은 피해자를 속여 악성 장치에 Microsoft 계정 접근을 승인하도록 하는 디바이스‑코드 피싱 전술을 관찰했습니다.

디바이스 코드 공격 방식
Source: Abnormal

이 방법은 효과적이고 비밀번호 재설정에 저항력이 있어 지난 1년 동안 매우 인기를 끌었습니다. 현재 최소 11개의 피싱 키트가 옵션으로 제공하고 있습니다.

Persistence and token abuse

두 방법 모두에서 VENOM은 인증 과정 중에 빠르게 지속적인 접근 권한을 확보합니다. AiTM 흐름에서는 피해자 계정에 새로운 장치를 등록하고, 디바이스‑코드 흐름에서는 계정에 대한 접근을 제공하는 토큰을 획득합니다.

Mitigations for C‑suite executives

• 피싱에 강한 로그인 보안을 위해 FIDO2 인증을 도입합니다.
• 필요하지 않은 경우 Microsoft 디바이스‑코드 흐름을 비활성화합니다.
• 토큰 남용을 차단하기 위해 보다 엄격한 조건부 접근 정책을 구현합니다.
• MFA를 단일 방어 수단이 아닌 다계층 제어로 간주하고, 비정상적인 장치 등록을 모니터링합니다.