젠데스크 스팸 재확산: 미보안 지원 시스템으로 가짜 활성화 이메일 범람

젠데스크 스팸 캠페인 재발, 자동화된 이메일로 사용자 압도

전 세계 인박스를 대상으로 한 새로운 스팸 공격이 발생하고 있습니다. 위협 행위자들이 미보안 상태의 젠데스크(Zendesk) 지원 시스템을 악용해 자동화된 이메일을 대량 발송하고 있습니다. 수신자들은 **"계정 활성화..."**와 같은 제목의 수백 통의 이메일을 받고 있으며, 이들 이메일은 종종 경고성 또는 오해의 소지가 있는 내용을 담고 있습니다.

공격의 기술적 세부 사항

이 캠페인은 잘못 설정된 젠데스크 인스턴스를 악용합니다. 인증되지 않은 사용자가 지원 티켓을 제출하면 자동 이메일 알림이 발송되는 기능이 있습니다. 공격자들은 이 기능을 남용하여 다음과 같은 방식으로 공격을 수행합니다:

• 노출된 젠데스크 양식을 통해 대량 티켓 요청 제출
• 합법적인 계정 활성화 이메일을 모방한 제목 라인 작성
• 젠데스크 배포 시 약하거나 존재하지 않는 레이트 리미팅(rate-limiting) 제어 기능 악용

보안 연구원 **액스 샤르마(Ax Sharma)**가 이 전술의 재발생을 처음 보고했으며, 영향을 받은 사용자들은 심지어 젠데스크와 사전 상호작용이 없었던 경우에도 스팸으로 inundation(범람)되고 있다고 언급했습니다. 이메일은 정당한 젠데스크 도메인(e.g., @zendesk.com)에서 발송되기 때문에, 진짜 지원 커뮤니케이션을 방해하지 않고는 차단이 어렵습니다.

영향 및 위험성

• 사용자 피로 및 피싱 위험: 이메일의 양이 많아지면, 수신자가 이후 피싱 시도에서 악성 링크나 첨부 파일을 클릭할 가능성이 높아집니다.
• 평판 손상: 노출된 젠데스크 인스턴스를 가진 조직은 사용자들이 그들의 도메인을 스팸과 연관짓게 되어 브랜드 이미지가 손상될 위험이 있습니다.
• 운영 중단: 혼란을 겪는 사용자로부터 IT 팀이 더 많은 지원 티켓을 처리해야 하며, 이는 중요한 업무에서 자원을 분산시키는 결과를 초래합니다.

완화 및 권장 조치

보안 팀과 젠데스크 관리자는 다음 조치를 취해야 합니다:

1. 젠데스크 설정 감사: 자동화된 제출을 방지하기 위해 지원 양식에 인증 또는 CAPTCHA 챌린지를 요구하도록 설정합니다.
2. 레이트 리미팅 구현: 대량 남용을 완화하기 위해 IP 주소당 티켓 제출 수를 제한합니다.
3. 이상 징후 모니터링: 젠데스크의 내장 분석 도구를 사용하여 티켓 볼륨의 비정상적인 급증을 감지합니다.
4. 사용자 교육: 직원과 고객에게 스팸 웨이브에 대해 경고하고, 예상치 못한 "활성화" 이메일에 주의하도록 조언합니다.
5. 이메일 필터링 규칙 검토: 일시적으로 스팸 필터를 조정하여 젠데스크 도메인에서 발송된 의심스러운 제목 라인(e.g., "계정 활성화")의 이메일을 격리합니다.

젠데스크는 이 특정 캠페인에 대해 아직 공식 입장을 발표하지 않았지만, 회사의 보안 모범 사례에서는 공개 양식에 대해 인증 및 레이트 리미팅을 활성화할 것을 권장하고 있습니다.

원본 보도: 액스 샤르마(Ax Sharma) 기자, BleepingComputer.