Google은 최근 Microsoft Teams에서 대화 초대와 기술 지원 부서(helpdesk)를 사칭하는 가짜 알림을 결합하여 로그인 정보를 훔치고 악성 코드를 설치하는 새로운 사이버 범죄 집단에 대한 경고를 발표했습니다.
구글 위협 정보 그룹(GTIG)에 따르면 UNC6692라는 해커 그룹은 정교한 수법으로 대규모 공격 캠페인을 시작하여 스팸 메일을 이용한 "선제 공격" 형태로 기업을 겨냥했습니다.
구체적으로 대상은 먼저 기업 직원에게 많은 양의 스팸 이메일을 보내 우편함이 과부하됩니다. 비정상적인 이메일을 계속해서 받아 혼란스러운 상황에서 사용자는 경각심을 잃기 쉽습니다. 직후 공격자는 IT 직원을 사칭하여 Microsoft Teams를 통해 적극적으로 연락하고 문제 해결 지원을 요청합니다.
내부 부서라고 믿은 많은 사람들이 지침을 따랐습니다. 사용자는 이메일 오류를 해결하는 데 도움이 되는 도구로 소개된 링크를 클릭하라는 메시지가 표시됩니다. 그러나 이 링크는 시스템 검사 도구처럼 설계된 "Mailbox Repair Utility"라는 가짜 웹사이트로 연결됩니다.
이메일 로그인 정보를 요청받은 후 가짜 시스템은 처음 입력 시 오류를 의도적으로 보고하고 다시 입력하도록 요청합니다. 이 속임수는 사용자가 올바르게 조작하지 않았다고 믿게 만들지만 실제로는 로그인 정보가 수집되었습니다.
경고에 따르면 이 모든 데이터는 Amazon Web Services S3 서비스를 통해 해커가 제어하는 서버로 전송됩니다. 동시에 악성 파일도 장치에 은밀히 다운로드됩니다. 화면에 "완료" 알림이 표시되면 시스템이 실제로 침입되었습니다.
초기 접근 권한을 획득한 후 해커는 장기적인 제어를 유지하기 위해 더 많은 도구를 계속 설치합니다. 이러한 소프트웨어를 통해 활동 추적, 원격 명령 실행, 심지어 사용자가 알지도 못한 채 중요한 데이터를 캡처하거나 훔칠 수 있습니다.
전문가들은 이것이 기술적 허점을 이용하는 대신 인간의 심리와 습관을 이용하는 "사회 기술" 공격의 형태라고 말합니다.
이전에도 Microsoft는 Teams 플랫폼을 통해 기술 지원 부서를 사칭하는 유사한 사기 캠페인을 기록했습니다.
사이버 보안 전문가들은 사용자가 업무에서 익숙한 채널에서 온 경우에도 로그인 정보 제공 요청에 특히 주의해야 한다고 권장합니다.
