새로운 피싱 클릭: OAuth 동의가 MFA를 우회하는 방법

발행: 3주 전 (2026년 5월 19일 PM 08:30 GMT+9)

1 분 소요

Source: The Hacker News

2026년 2월, EvilTokens라는 피싱‑애즈‑어‑서비스(PhaaS) 플랫폼이 출시되었습니다. 출시 후 5주 만에 5개국에 걸쳐 340개가 넘는 Microsoft 365 조직이 침해되었습니다.

플랫폼의 대상자는 microsoft.com/devicelogin에 짧은 코드를 입력하고 정상적인 MFA 인증 절차를 완료하라는 메시지를 받았으며, 이를 정당한 요청으로 확인했다고 믿고 넘어갔습니다.

!https://www.bleepstatic.com/content/hl-images/2026/05/15/MS365.jpg FBI는 Kali365 phishing‑as‑service(PhaaS) 플랫폼에 대해 경고하고 있으며, 이 플랫폼은 …에 사용됩니다.

Anthropic은 제한된 모델인 Mythos의 공개 출시를 준비하고 있는 것으로 보입니다...

위협 개요: 위협 행위자들은 최근 공개된 Ghost CMS의 중요한 보안 결함을 악용하여 악성 JavaScript 코드를 주입하고, 이를 통해 C...

Cybersecurity 연구원들은 North Korea‑linked Lazarus Group이 공격에 사용한 RemotePE라는 cross‑platform 악성코드에 대해 밝혀냈다.

관련 글