2022년 하반기 무단 로그인 시도가 가장 많이 발생한 앱
10
가지
자료 제목 :
잘못된 팀을 위해 뛰다
Playing for the Wrong Team Proofpoint
자료 출처 :
Proofpoint
원본자료 다운로드
발행 날짜 :
2023년 05월 17일
보안 / 오피스ㆍ협업

“믿었던 협업 툴이…” 기업을 위험에 빠뜨리는 팀즈의 위험한 기능 2가지

Lucian Constantin | CSO 2023.05.18
클라우드 기반 서비스와 애플리케이션, 특히 협업 도구를 채택하는 기업이 증가하면서 사이버 공격자의 공격도 집중되고 있다. 사이버보안 업체 프루프포인트(Proofpoint)의 조사에 따르면, 마이크로소프트의 서비스는 악의적인 로그인 시도와 관련한 통계에서 지속적으로 상위권을 차지하고 있다. 최근 공격자의 관심을 끈 대표적인 앱이 팀즈다.
 
ⓒ Dimitri Karastelev/Unsplash

프루프포인트 연구팀은 사이버 공격자가 팀즈 계정에 대한 액세스를 남용하고 추가 피싱 공격을 실행하거나 사용자가 악성 파일을 다운로드하도록 함으로써 횡적으로 이동할 수 있는 몇 가지 흥미로운 공격 벡터를 발견했다.

프루프포인트 연구팀은 보고서에서 “동적인 클라우드 환경에서의 과거 공격과 현재 추세를 분석하면 공격자가 보다 발전된 공격 벡터로 점진적으로 선회하고 있음을 알 수 있다. 공격자가 새롭게 채택한 공격 기술과 도구가 앱의 위험한 기능 및 보안 결함과 결합하면 기업은 중대한 위험에 직면할 수 있다”라고 경고했다.


공격자가 팀즈를 악용하는 방법 : 탭, 메시지 수정

프루프포인트의 데이터에 따르면, 마이크로소프트 365 클라우드 테넌트인 기업의 약 40%가 2022년 하반기에 웹 또는 데스크톱 클라이언트를 사용한 팀즈 사용자 계정 무단 로그인 시도를 한 번 이상 경험했다. 애저 포털(Azure Portal) 또는 오피스 365 계정에 대한 악의적인 로그인 시도보다는 빈도가 낮지만, 공격자가 팀즈에 주목하고 있음을 알 수 있는 중요한 사실이다.

팀즈 계정에 대한 액세스는 자격증명이 포함된 API 토큰이나 활성 세션 쿠키를 통해 획득할 수 있다. 하지만 해커라면 내부에 들어간 후 다른 서비스로 접근 권한을 확장하거나 다른 사용자를 겨냥할 가능성이 높다. 프루프포인트 연구팀은 팀즈에서 문서화되지 않은 API 호출을 발견했는데, 이를 통해 채널 또는 그룹 대화의 상단에 표시돼 모든 사람이 볼 수 있는 탭을 재정렬할 수 있다. 탭에는 다른 오피스 365 앱을 고정할 수 있지만, ‘웹사이트’ 탭을 이용하면 외부 웹사이트를 팀즈 클라이언트 내부에서 로드할 수 있다. 
 
ⓒ ITWorld

프루프포인트 연구팀은 “이 새로운 탭은 피싱 페이지나 마이크로소프트 365 로그인 페이지를 가장한 악성 사이트에 연결하는 데 악용될 수 있다. 의도적으로 탭의 ‘설정’ 메뉴를 방문하지 않는 한 웹사이트 탭의 URL이 사용자에게 표시되지 않도록 설계되어 있기 때문에 공격자에게 매우 매력적인 부분이다”라고 지적했다.

또한 팀즈 계정에 대한 액세스 권한이 있는 공격자는 문서화되지 않은 API 호출을 사용해 피싱 페이지 탭의 이름을 이미 존재하는 탭과 똑같이 바꾼 다음 탭을 재정렬해 기존 탭을 숨길 수 있다. 즉, 평소처럼 탭을 클릭했는데 마이크로소프트 365 계정에 대한 재인증을 요청하는 피싱 페이지로 연결되는 것이다. 팀즈 내 탭에서는 사이트의 URL이 보이지 않는 데다가 신뢰하는 앱을 통해 연결된 웹사이트이므로 사용자는 의심하지 않을 수 있다. 

탭 기능을 악용하는 또 다른 방법은 웹사이트 형식의 탭을 원격으로 호스팅되는 파일로 지정하는 것이다. 이 경우 팀즈 클라이언트는 파일을 클릭할 때 자동으로 사용자의 컴퓨터에 파일을 다운로드한다. 이런 방법으로 공격자는 맬웨어 드롭퍼를 다른 시스템 및 네트워크로 가져올 수 있다. 

프루프포인트 연구팀이 발견한 팀즈의 또 다른 위험한 API 기능은 사용자가 팀즈 계정에서 생성된 회의 초대 내에서 전송된 URL을 수정하는 것이다. 연구팀은 “일반적으로 공격자는 회의 초대 내용을 조작하기 위해 아웃룩 또는 마이크로소프트 익스체인지에 액세스해야 하지만, 공격자가 사용자의 팀즈 계정에 대한 액세스 권한을 얻으면 팀즈 API 호출을 통해 무해한 기본 링크를 악성 링크로 교체할 수 있다”라고 말했다.

초대에 포함된 악성 링크는 마찬가지로 자격증명을 수집하도록 설계된 가짜 마이크로소프트 365 로그인 페이지가 될 수 있으며, 팀즈 업데이트/설치 프로그램으로 위장한 파일을 다운로드하라는 메시지를 표시하는 페이지로 이어질 수 있다. 팀즈에서 생성한 초대는 수신자가 신뢰할 가능성이 크다.

팀즈에서는 사용자가 과거 메시지를 편집하고 링크를 변경할 수 있으므로 이런 방법은 채팅에서 교환한 링크에도 적용할 수 있다. 클라이언트 또는 API를 통해 이런 기능을 사용할 수 있으며, 공격자는 몇 초 이내에 기존 채팅의 모든 링크를 대체하는 자동화된 스크립트를 만들 수 있다. 연구팀은 “정교한 위협 행위자는 소셜 엔지니어링 기술을 활용하고 새로운 메시지를 보내 순진한 사용자가 편집되고 무기화된 링크를 클릭(혹은 재방문)하도록 부추길 수 있다”라고 설명했다.

이들 공격 기술은 공격자가 이미 손상된 계정에 액세스할 수 있다는 사실을 전제한다. 공격자가 기업의 네트워크나 인프라에 발판을 마련한 후에는 하나의 손상된 계정 혹은 시스템에서 멈추는 경우가 거의 없다. 따라서 기업은 모든 공격에서 일반적으로 발생하는 횡적 이동의 가능성을 항상 고려해야 한다. 


팀즈를 통한 횡적 이동 위험을 완화하는 방법

프루프포인트에 따르면, 마이크로소프트 365 테넌트 약 2/3가 2022년 최소 한 번 이상의 성공적인 계정 탈취 사건을 경험했다. 프루프포인트는 이를 완화하기 위해 다음과 같은 방법을 제시했다. 
 
  • 마이크로소프트 팀즈를 사용할 때 발생할 수 있는 위험에 대한 인식 교육
  • 기업 내 클라우드 환경에서 팀즈에 액세스를 시도하는 공격자 식별. 이를 위해서는 계정 손상을 정확하고 시기 적절하게 감지하고 영향을 받는 로그인 앱에 대한 가시성을 확보해야 함
  • 팀즈 메시지에 포함된 링크로 시작된 잠재적으로 악의적인 세션 격리
  • 공격 시도가 지속해서 발생한다면 클라우드 환경에서 팀즈 사용 제한 고려
  • 팀즈 서비스가 외부와의 커뮤니케이션에 노출되지 않도록 내부용으로만 사용
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.