Starkiller Phishing Suite가 AitM Reverse Proxy를 이용해 Multi-Factor Authentication을 우회

Source: The Hacker News

위의 링크에 포함된 기사 내용을 제공해 주시면, 해당 텍스트를 한국어로 번역해 드리겠습니다. (코드 블록, URL 및 소스 라인은 그대로 유지됩니다.)

Source: …

Starkiller Phishing Suite Overview

사이버 보안 연구원들은 Starkiller라는 새로운 피싱 스위트가 다중 인증(MFA) 보호를 우회하기 위해 정상 로그인 페이지를 프록시한다는 세부 정보를 공개했습니다.

이 스위트는 Jinkusu라는 위협 그룹이 사이버 범죄 플랫폼으로 광고하고 있으며, 고객에게 다음과 같은 기능을 제공하는 대시보드에 접근할 수 있게 합니다:

• 가장하고자 하는 브랜드를 선택하거나 브랜드의 실제 URL을 입력합니다.
• “login”, “verify”, “security”, “account”와 같은 맞춤 키워드를 선택합니다.
• URL 단축기(예: TinyURL)를 통합하여 목적지 URL을 숨깁니다.

“이 도구는 headless Chrome 인스턴스를 — 눈에 보이는 창 없이 작동하는 브라우저 — Docker 컨테이너 안에서 실행하고, 브랜드의 실제 웹사이트를 로드한 뒤, 대상과 정상 사이트 사이의 역방향 프록시 역할을 합니다,” 라고 Abnormal 연구원 Callie Baron과 Piotr Wojtyla 가 말했습니다.¹

“수신자는 공격자의 인프라를 통해 직접 전달되는 실제 페이지 콘텐츠를 받게 되며, 피싱 페이지가 최신이 아니게 되는 경우가 없습니다. 그리고 Starkiller가 실시간으로 실제 사이트를 프록시하기 때문에 보안 업체가 지문을 남기거나 차단 목록에 올릴 템플릿 파일이 존재하지 않습니다.”

이 로그인 페이지 프록시 기법은 정상 페이지가 변경될 때마다 공격자가 피싱 페이지 템플릿을 업데이트할 필요성을 없애줍니다.

Starkiller 작동 원리

컨테이너는 MITM 역방향 프록시 역할을 하여, 위조된 실시간 페이지에 입력된 최종 사용자의 입력을 정식 사이트로 전달하고 사이트의 응답을 다시 반환합니다. 내부적으로는 모든 키 입력, 폼 제출, 세션 토큰이 공격자가 제어하는 인프라를 통해 라우팅되어 계정 탈취를 위해 캡처됩니다.

“이 플랫폼은 인프라 관리, 피싱 페이지 배포, 세션 모니터링을 하나의 제어판에 중앙화함으로써 피싱 작업을 간소화합니다,” 라고 Abnormal said. “URL 마스킹, 세션 하이재킹, MFA 우회와 결합되어, 이전에는 접근하기 어려웠던 공격 기능을 저숙련 사이버 범죄자에게 제공합니다.”

1Phish 키트와의 비교

Starkiller의 개발은 Datadog이 1Phish 키트가 기본 자격 증명 수집기(2025 년 9월)에서 1Password 사용자를 대상으로 하는 다단계 피싱 키트로 진화했다는 발표와 일치합니다. 업데이트된 버전에는 다음이 추가되었습니다:

• 사전 피싱 지문 및 검증 레이어.
• 일회용 비밀번호(OTP)와 복구 코드를 캡처하는 기능 지원.
• 봇을 걸러내기 위한 브라우저 지문 채취 로직.

“이러한 진행은 단순 템플릿 재사용이 아니라 의도적인 반복을 반영합니다,” 라고 보안 연구원 Martin McCloskey 말했습니다.² “각 버전은 이전 버전을 기반으로 구축되며, 전환율을 높이고 자동 분석을 감소시키며 2차 인증 수집을 지원하도록 설계된 제어 기능을 도입합니다.”

Starkiller와 1Phish 모두 SaaS‑스타일 피싱 워크플로우로의 전환을 보여주며, 대규모 공격을 실행하는 데 필요한 기술 장벽을 낮추고 있습니다.

OAuth 2.0 디바이스 인증 부여 흐름 공격

북미 기업을 표적으로 하는 정교한 피싱 캠페인이 OAuth 2.0 디바이스 인증 부여 흐름을 악용하여 MFA를 우회하고 Microsoft 365 계정을 탈취하고 있습니다. 공격자는 Microsoft OAuth 플랫폼에 악성 애플리케이션을 등록하고 고유한 device code를 생성합니다. 이 코드는 표적 피싱 이메일을 통해 피해자에게 전달됩니다.

“피해자는 정식 Microsoft 도메인 (microsoft.com/devicelogin) 포털로 이동하여 공격자 제공 디바이스 코드를 입력하도록 유도됩니다,” 라고 연구원 Jeewan Singh Jalal, Prabhakaran Ravichandhiran, 그리고 Anand Bodke 말했습니다.³ “이 행동은 피해자를 인증하고 공격자 애플리케이션에 유효한 OAuth 액세스 토큰을 발급합니다. 이러한 토큰을 실시간으로 탈취함으로써 공격자는 피해자의 Microsoft 365 계정 및 기업 데이터에 지속적인 접근 권한을 얻게 됩니다.”

Source: …

금융 기관 피싱 캠페인

최근 몇 달 동안 미국 은행 및 신용조합을 표적으로 하는 피싱 캠페인이 발생했습니다. 이 작전은 두 단계로 전개되었습니다: 2025년 6월 말에 시작된 초기 물결과 2025년 11월 중순에 시작된 보다 정교한 공격 세트입니다.

“공격자는 .co.com 도메인을 등록해 금융 기관 웹사이트를 가장했으며, 실제 금융 기관을 신뢰할 수 있게 가장하는 행위를 시작했습니다,” 라고 BlueVoyant 연구원 Shira Reu가 말했습니다.

Veny와 Joshua Green은 다음과 같이 말했습니다:

“이 [.]co[.]com 도메인은 정교한 다단계 체인의 초기 진입점 역할을 합니다.”⁴

피싱 이메일 링크를 통해 방문하면, 해당 도메인은 대상 기관을 모방한 사기성 Cloudflare CAPTCHA 페이지를 로드합니다. CAPTCHA는 기능하지 않으며, 피해자를 의도적으로 지연시킨 뒤 Base64‑인코딩된 스크립트가 자격 증명 수집 페이지로 리다이렉트합니다. [.]co[.]com 도메인에 직접 접근하면, 잘못된 “www[.]www” URL로 리다이렉트되어 자동 스캐너를 더욱 회피합니다.

“적은 보다 고급화된 다계층 회피 체인—리퍼러 검증, 쿠키 기반 접근 제어, 의도적 지연, 코드 난독화 등을 포함—을 배포함으로써 자동화된 보안 도구와 수동 분석에 대한 장벽을 만드는 보다 탄력적인 인프라를 효과적으로 구축했습니다,” BlueVoyant가 말했습니다.

최신 정보를 받아보세요

이 기사가 흥미로우셨나요? 더 많은 독점 콘텐츠를 위해 팔로우하세요:

• Google News
• Twitter
• LinkedIn

Footnotes

1. Callie Baron and Piotr Wojtyla, Abnormal – Starkiller Phishing Kit, link. ↩

2. Martin McCloskey, Datadog – Hook Line Vault: A Deep Dive into 1Phish, link. ↩

3. Jeewan Singh Jalal, Prabhakaran Ravichandhiran, and Anand Bodke, KnowBe4 – Uncovering the Sophisticated Phishing Campaign Bypassing M365 MFA, link. ↩

4. BlueVoyant, “Multi‑stage phishing campaign targets finance,” https://www.bluevoyant.com/blog/multi-stage-phishing-campaign-targets-finance. ↩