에너지 산업 targeted, 고급 SharePoint 피싱 캠페인 분석

위협 행위자, 에너지 산업 대상으로 SharePoint 악용 공격 실행

보안 연구진들은 에너지 산업 내 조직들을 대상으로 Microsoft SharePoint를 악용한 새로운 피싱 캠페인을 발견했다. 이 공격은 Adversary-in-the-Middle(AitM) 피싱과 비즈니스 이메일 침해(BEC) 기법을 활용해 자격 증명 탈취 및 악성 페이로드 유포를 목적으로 하고 있다. 이번 캠페인은 자격 증명 수집 및 페이로드 전달 전술의 진화를 보여준다.

공격의 기술적 세부 사항

위협 행위자들은 SharePoint의 합법적인 파일 공유 기능을 악용해 악성 페이로드를 배포한다. 공격자들은 신뢰할 수 있는 SharePoint 알림 내에 피싱 링크를 삽입함으로써 기존 이메일 보안 필터를 우회한다. 피해자가 링크를 클릭하면 위조된 로그인 페이지로 리디렉션되어 실시간으로 자격 증명이 탈취된다.

이번 캠페인의 주요 특징은 다음과 같다:

• AitM 피싱: 공격자들이 인증 세션을 가로채 자격 증명 및 세션 토큰을 탈취한다.
• BEC 전술: 침해된 계정을 이용해 사기성 금융 거래를 수행하거나 내부 피싱을 확대한다.
• 합법 서비스 악용: SharePoint의 신뢰도 높은 평판을 악용해 의심 수준을 낮추고 성공적인 공격을 유도한다.

에너지 산업에 미치는 영향

에너지 산업은 핵심 인프라로서 높은 가치를 지닌 공격 목표로 남아 있다. 성공적인 공격은 다음과 같은 결과를 초래할 수 있다:

• 민감한 운영 시스템에 대한 무단 접근
• BEC를 통한 금융 사기
• 자격 증명 침해로 인한 에너지 공급망 중단

방어 권고 사항

에너지 산업 및 기타 고위험 산업의 보안 팀은 다음과 같은 조치를 취해야 한다:

1. 다중 인증(MFA) 구현: SharePoint 및 이메일 계정에 대해 MFA를 적용해 자격 증명 탈취를 완화한다.
2. 이상 행동 모니터링: 행동 분석을 통해 비정상적인 로그인 패턴이나 파일 공유 활동을 탐지한다.
3. 직원 교육: 악성 SharePoint 알림을 식별할 수 있도록 피싱 인식 교육을 실시한다.
4. 이메일 보안 강화: 고급 위협 보호 솔루션을 활용해 AitM 피싱 시도를 차단한다.
5. SharePoint 공유 제한: 외부 파일 공유 권한을 제한해 노출 위험을 줄인다.

연구진들은 이 캠페인을 지속적으로 추적하고 있으며, 추가 조사 결과가 나올 수 있다. 조직들은 SharePoint와 같은 신뢰할 수 있는 플랫폼을 대상으로 한 진화하는 피싱 공격에 대해 경계를 늦추지 말아야 한다.