모핑 미어캣 피싱 키트: 위협과 전술에 대한 심층 분석

블로그

모핑 미어캣 피싱 키트가 어떻게 서비스형 피싱(PhaaS) 공격을 강화하고 탐지를 회피하는지, 그리고 이를 탐지하고 차단하는 방법을 알아보세요.

by Milena Baghdasaryan

읽기 시간: 5 min
모핑 미어캣 피싱 키트: 위협과 전술에 대한 심층 분석
목차-

100개 이상의 브랜드가 스푸핑되고 수천 개의 피싱 이메일이 전송되는 상황에서 Morphing Meerkat PhaaS 플랫폼은 DNS MX 레코드를 활용하여 기존 방어 체계를 우회하는 사이버 범죄 효율성의 획기적인 변화를 나타냅니다.

인포블록스 보고서 에 따르면 모핑 미어캣 공격자가 수천 건의 피싱 이메일을 발송하여 글로벌 기업에 심각한 위협을 가하고 있다고 합니다. 이러한 공격의 규모와 정교함 때문에 즉각적인 주의가 필요합니다.

주요 내용

  • 최근 100개 이상의 브랜드를 사칭한 '모핑 미어캣' 피싱 키트가 등장했습니다.
  • 위협 행위자는 천 개가 넘는 스팸 이메일을 전송하여 공격의 글로벌 규모를 알렸습니다.
  • 데이터 도난, 비즈니스 중단 및 평판 손상을 초래할 수 있습니다. 
  • 적절한 이메일 인증을 통해 이러한 위협으로부터 자신을 보호할 수 있습니다.

모핑 미어캣 피싱 키트란 무엇인가요?

모핑 미어캣 피싱 키트는 위협 행위자가 합법적으로 보이지만 실제로는 사기인 웹사이트를 만들 수 있게 해주는 도구 세트를 말합니다. 피싱 키트는 사용자를 속여 민감한 정보를 공개하도록 유도하여 데이터나 돈을 훔치는 것을 목표로 합니다. 피싱 키트에는 초보 해커도 피싱 공격을 수행하는 데 사용할 수 있는 HTML 및 PHP 코드가 포함되어 있습니다. 피싱 키트는 최소한의 기술만 있으면 작동할 수 있습니다. 

이러한 키트에는 미리 디자인된 이메일 템플릿과 불법적이고 기만적인 로그인 페이지가 포함되어 있습니다. 추가 요소는 사용자가 비밀번호나 결제 정보를 제공하도록 강요합니다. 

'모핑 미어캣' 피싱 키트는 MX 레코드를 사용하여 브랜드를 스푸핑하고 인증정보에 액세스합니다. As 인포블록스 위협 인텔은에서 언급했듯이 "이 공격 방법은 악의적인 공격자에게 유리합니다." 이메일 서비스 제공업체와 관련된 웹 콘텐츠를 표시하기 때문입니다. 이를 통해 피싱 페이지를 피해자의 이메일 제공업체와 연계하여 표적 공격을 수행할 수 있습니다.

랜딩 페이지의 디자인이 스팸 이메일의 메시지와 일치하기 때문에 피싱 프로세스는 합법적으로 보입니다. 이 기법은 공격자가 피해자가 피싱 웹 양식을 통해 이메일 자격 증명을 제출하도록 속이는 데 도움이 됩니다."

모핑 미어캣 피싱 공격의 작동 방식

이 공격에서 위협 행위자는 기존 이메일 구성을 사용하여 콘텐츠를 사용자 지정합니다. 해커는 자격 증명을 탈취하여 기업 네트워크에 침투합니다. 이를 통해 해커는 민감한 비즈니스 데이터(예: 신용 카드 정보, 비밀 통신 등)에 액세스할 수 있습니다.

이 툴킷은 DNS MX 레코드를 활용하여 가짜 로그인 페이지를 제작합니다. 그런 다음 이를 사용하여 자격 증명에 액세스하고 이를 탈취합니다. 더 구체적으로 설명하면, 먼저 표적 피해자가 안전하지 않은 피싱 링크를 클릭해야 합니다. 그런 다음 피싱 키트는 피해자의 이메일 도메인의 MX 레코드를 쿼리합니다. 이 단계를 통해 이메일 서비스 제공업체를 확인할 수 있습니다. 이 키트는 피해자의 이메일 서비스 제공업체를 모방한 위조 로그인 페이지를 제공합니다. 

모든 모핑 미어캣 공격은 이메일 사용자 로그인 자격 증명을 공격 대상으로 삼습니다. 사실 이것이 초기 관심 대상이었으며, 공격이 진화하는 동안에도 표적은 동일하게 유지되었습니다. 

피싱 메시지는 종종 손상된 워드프레스 웹사이트를 이용합니다. 또한 Google 소유의 DoubleClick을 비롯한 다양한 광고 플랫폼의 공개 리디렉션 취약점을 활용합니다. 이를 통해 보안 필터를 쉽고 효과적으로 우회할 수 있습니다.

조직에 미치는 영향

이 툴킷이 조직에 영향을 미칠 수 있는 몇 가지 방법은 다음과 같습니다.

 

지속적인 공격 진화

이 피싱 키트는 지속적으로 진화하여 조직에 더욱 위험해지고 있습니다. 모핑 미어캣 캠페인은 2020년에 처음 탐지되었습니다. 하지만 당시에는 이 공격이 그다지 위험하다고 인식되지 않았습니다. 초기 버전은 Gmail, Outlook, AOL, Office 365 및 Yahoo로 위장한 피싱 웹 템플릿만 제공할 수 있었습니다. 번역 옵션은 제공되지 않았습니다. 이 키트는 영어 피싱 템플릿만 표시할 수 있었습니다. 

하지만 현재는 114개 이상의 브랜드 디자인을 대상으로 합니다. 2023년 7월에 이미 이 키트는 액세스된 DNS MX 레코드에 따라 피싱 페이지를 로드할 수 있었습니다. 이제 위협 행위자는 다국어 피싱 페이지를 배포합니다. 지원되는 언어는 스페인어, 러시아어, 영어, 중국어, 일본어, 한국어, 독일어 등입니다.

탐지 및 해결이 어려운 문제

다른 많은 기존 위협과 비교했을 때, 이 툴킷은 많은 보안 우회 기능을 활용합니다. 예를 들어, 위협 행위자는 종종 애드테크 서버에서 개방형 리디렉션을 사용합니다. 또한 코드를 난독화하여 분석을 방해할 수도 있습니다. 또한 피싱 랜딩 페이지는 난독화 외에도 분석 방지 조치를 사용합니다. 

이 기능은 마우스 오른쪽 클릭 또는 다른 키보드 단축키 중 Ctrl + S 및 Ctrl + U의 사용을 금지하여 분석을 방해하는 것을 방지합니다. Ctrl+S는 페이지를 저장하고, Ctrl+U는 소스 코드를 표시합니다. 이러한 모든 단계는 분석을 방해하고 공격에 성공하는 데 도움이 됩니다. 

데이터 도난의 관문

이메일 자격 증명이 도난당하면 해커는 이를 이용해 기업 네트워크에 침투할 수 있습니다. 이를 통해 해커는 다른 방법으로는 접근할 수 없는 데이터에 대한 관문을 확보할 수 있습니다. 개인 정보, 비즈니스 기밀, 재무 정보 등 데이터 도난으로 인한 피해는 치명적일 수 있습니다. 

잠재적 평판 손상

위협 행위자가 자격 증명을 확보하면, 텔레그램과 같은 채널을 통해 자격 증명을 배포할 수 있습니다. 따라서 이 공격은 데이터 도난뿐만 아니라 다양한 채널을 통해 민감한 데이터를 불법적으로 배포하는 행위로 이어질 수 있습니다. 이는 심각한 평판 손상과 고객 신뢰 상실로 이어질 수 있습니다. 

운영 중단

이 툴킷은 전체 조직을 동시에 대상으로 할 수 있습니다. 즉, 단일 기업이 아니라 수십 개의 기업 수준에서 워크플로우를 중단시킬 수 있습니다. 운영 중단 외에도 전 세계적으로 상당한 재정적 손실을 초래할 수 있습니다. 

변종 미어캣 피싱 탐지 및 방어 전략 

이 피싱 공격의 배후에 있는 위협 행위자들은 잡히지 않기 위한 영리한 메커니즘을 가지고 있습니다. 로그인 시도가 실패할 경우, 키트는 피해자를 이메일 서비스 제공업체의 실제 합법적인 로그인 페이지로 리디렉션합니다. 이러한 유형의 공격을 탐지하고 완화하기는 매우 어렵지만, 몇 가지 조치를 취할 수 있습니다. 

1. 이메일 인증 프로토콜

레거리지 이메일 인증 및 사용 SPF, DKIM, DMARC 프로토콜을 사용하세요. 이러한 프로토콜은 이메일을 인증하고 스푸핑 시도가 성공할 가능성을 줄이는 데 도움이 됩니다. DMARC, DKIM 및 SPF는 함께 작동하여 권한이 있는 합법적인 발신자만 도메인을 대신하여 이메일을 보낼 수 있도록 합니다. 따라서 해커의 기술적 전문 지식에 관계없이 사칭이 훨씬 더 어려워집니다.

2. AI 기반 위협 탐지

또한 AI 기반 솔루션을 사용하여 피싱 시도가 데이터 도난으로 이어지기 훨씬 전에 이를 탐지할 수 있습니다. 이러한 도구는 패턴을 감지하고 조사하여 이메일 활동에 대한 필요한 인사이트를 제공합니다.

PowerDMARC의 AI 기반 DMARC 위협 인텔리전스스푸핑 및 피싱 시도에 대한 실시간 인사이트를 제공합니다. 스푸핑 시도의 원인이 된 IP 주소에 대한 알림과 가시성을 제공합니다.

3. DNS 필터링 및 모니터링

DNS 필터링을 활용하여 의심스러운 도메인 및 DoH 제공업체와의 통신을 차단해 보세요. 여기에는 Cloudflare와 Google이 포함됩니다. 이러한 서비스는 모핑 미어캣이 MX 레코드를 기반으로 피싱 페이지를 생성하는 데 자주 사용됩니다. DNS 필터링 외에도 DNS 트래픽에서 비정상적이거나 비정상적이거나 의심스러운 쿼리가 있는지 확인해야 합니다.

4. 다단계 인증(MFA)

모든 중요 계정에 MFA를 요구하면 보안 계층을 하나 더 추가하는 데 도움이 됩니다. 공격자는 두 번째 인증 요소 없이는 계정에 액세스할 수 없습니다. 이는 공격자가 회원님의 자격 증명에 액세스할 수 있는 경우에도 마찬가지입니다.

마지막 말

모핑 미어캣 피싱 키트는 전 세계 비즈니스에 심각한 위험을 초래합니다. 그 수법과 전략은 점점 더 진화하고 더 똑똑해지고 있습니다. 잠재적인 결과도 마찬가지입니다. 결과적으로 비즈니스는 심각한 데이터 손실과 운영 중단을 겪을 수 있습니다. 또한 금전적 손해와 평판이 나빠질 수도 있습니다. 

하지만 좋은 소식은 이러한 위협을 탐지하고 예방할 수 있다는 것입니다. MFA, DNS 필터링, AI 기반 위협 탐지는 모두 디지털 전쟁에 대비하는 데 도움이 될 수 있습니다. 또한 이메일 인증 프로토콜은 이메일 커뮤니케이션을 보호하고 보안을 강화할 수 있습니다. 

모핑 미어캣과 같이 진화하는 위협에 대비하려면 지금 바로 PowerDMARC로 보안 감사를 예약하세요!

CTA

Milena Baghdasaryan의 최신 글 (전체 보기)
Customer.io에 SPF, DKIM 및 DMARC를 설정하는 방법How-to-Set-Up-SPF,-DKIM,-DMARC-for-Customer.io이메일-건강 체크리스트이메일 상태 점검 목록: 받은 편지함 위치를 높이는 방법