러시아 해커들이 OAuth 2.0을 이용해 Microsoft 365 계정을 해킹하다

러시아 해커들은 합법적인 OAuth 2.0 인증 워크플로우를 이용해 Microsoft 365 계정을 탈취했습니다. 사이버 보안 분야가 시간이 지남에 따라 발전함에 따라 사이버 공격자들은 피해자를 겨냥하기 위해 다양한 수단을 시도하고 있습니다.

최근 사이버 보안 회사인 Volexity는 2025년 3월 이후 진행 중인 일련의 사이버 공격을 발견하고 보고했습니다.

러시아 해커들이 우크라이나 동맹국을 목표로 Microsoft 365 계정을 해킹하다

UTA0352 및 UTA0355로 추적되는 두 명의 러시아 위협 행위자는 주로 우크라이나 및 인권과 관련된 개인의 Microsoft 365 계정을 목표로 하며, 매우 정교한 사회 공학 전술을 사용합니다.

이제 러시아 해커들이 어떻게 피해자를 유인하여 그들의 함정에 빠뜨릴 수 있었는지 궁금하실 것입니다, 그렇죠? 사이버 공격자들은 먼저 자신을 유럽 관료로 가장하거나 해킹된 우크라이나 정부 계정을 사용하여 WhatsApp 및 Signal과 같은 문자 메시지 앱을 통해 피해자에게 연락합니다. 이미지: Volexity

해커들이 피해자를 의심 없이 악성 링크를 클릭하도록 유도하다

러시아 해커들은 Microsoft의 인프라에서 호스팅되는 악성 링크를 클릭하도록 목표를 유도하거나 OAuth 인증 코드를 공유하도록 합니다. 60일 동안 유효한 이 코드는 피해자에게 이메일 및 기타 Microsoft 365 리소스에 대한 접근을 허용합니다. 이미지: Volexity Volexity의 보안 연구원들은 “이 코드는 주소 표시줄의 URI의 일부로 나타났다는 점도 주목할 필요가 있습니다. Visual Studio Code는 이 코드를 추출하고 공유하기 쉽게 설정된 것으로 보이며, 대부분의 다른 경우는 단순히 빈 페이지로 이어질 것입니다.“라고 언급합니다.

일부 경우, 러시아 해커들은 피해자의 Microsoft Entra ID에 새로운 장치를 등록하여 이중 인증(2FA)을 우회합니다. 그들은 SharePoint 인스턴스에 접근하는 것처럼 가장하여 사용자에게 가짜 2FA 요청을 승인하도록 속입니다. 이미지: Volexity

피해자들은 의심할 가능성이 낮다

러시아 해커들이 Microsoft의 자체 인프라를 사용하고 있기 때문에 피해자들이 어떤 불법 행위를 의심하기가 매우 어렵습니다. 게다가 이러한 공격은 전통적인 피싱과는 상당히 다릅니다. 공격자들은 프록시 네트워크를 사용하여 피해자의 위치를 모방하여 피해자들이 잘못된 점을 의심하지 않도록 합니다.

탈취된 OAuth 코드는 해커들이 이메일을 읽고, 파일에 접근하며, 무단으로 들어갈 수 있는 장기적인 접근을 허용합니다. 피해자들이 비밀번호를 변경하더라도 모든 것이 가능하다는 점은 주목할 가치가 있습니다.

Volexity는 보고서에서 “Volexity가 검토한 로그에서 초기 장치 등록은 공격자와 상호작용한 직후 성공적이었습니다. 이메일 데이터에 대한 접근은 다음 날 발생했으며, 이때 UTA0355는 그들의 2FA 요청이 승인되도록 상황을 조작했습니다.“라고 언급합니다.

이 모든 것을 고려할 때, 이는 공격자들이 OAuth 인증 워크플로우를 남용한 첫 번째 사례가 아닙니다. 최근 몇 가지 보고서는 사기꾼들이 Google OAuth를 남용하여 사용자에게 여러 피싱 이메일을 보내고 있다는 점을 강조했습니다.