[데일리시큐]70여 개 마이크로소프트 익스체인지 서버, 로그인 페이지에 키로거 삽입돼 사용자 인증정보 탈취

내용 요약

전 세계 70여 개의 Microsoft Exchange 서버가 자바스크립트 기반 키로거 공격으로 침해당했습니다. 공격자는 OWA 로그인 페이지에 악성 스크립트를 삽입하여 사용자의 로그인 정보를 탈취했습니다. 보안 탐지를 회피하는 방식으로 작동하여 상당 기간 피해가 지속된 것으로 추정됩니다.

핵심 포인트

• 70여 개의 온프레미스 Microsoft Exchange 서버가 공격 대상이었음.
• 공격 방식은 OWA 로그인 페이지에 자바스크립트 기반 키로거를 삽입하는 방식.
• 탈취 대상 정보는 사용자의 로그인 정보.
• 악성 스크립트는 입력된 정보를 즉시 외부로 유출하거나 서버에 저장하는 방식으로 동작.
• 보안 탐지 회피 기능으로 인해 장기간 피해 발생.

기술 세부 내용

1️⃣ Keylogger (키로거)

• ⌨️ 정의: 사용자의 키보드 입력을 몰래 기록하는 악성 소프트웨어. 입력되는 모든 내용 (ID, 비밀번호, 개인 정보, 검색어 등)을 가로챌 수 있음.
• 종류: 하드웨어 키로거 (키보드와 컴퓨터 사이에 물리적으로 설치), 소프트웨어 키로거 (자바스크립트 기반 키로거처럼 프로그램 형태로 설치)
• ⚙️ 작동 방식: 이번 공격에서는 자바스크립트를 이용한 소프트웨어 키로거가 사용됨. OWA 로그인 페이지에 악성 자바스크립트 코드를 삽입하여 사용자가 입력하는 로그인 정보를 실시간으로 가로채는 방식.
• 위험성: 사용자 몰래 정보를 탈취하므로 매우 위험. 금융 정보, 개인 정보 등 민감한 정보 유출로 이어질 수 있음.

2️⃣ On-premises Microsoft Exchange Server (온프레미스 마이크로소프트 익스체인지 서버)

• 정의: 기업 내부에서 직접 운영하고 관리하는 Microsoft Exchange 서버. 클라우드 기반 서비스와 달리 자체적으로 서버를 구축하고 관리해야 함.
• ⚙️ 기능: 이메일, 캘린더, 연락처 등을 관리하는 기업용 메일 서버.
• 공격 대상: 이번 공격은 온프레미스 환경의 Exchange 서버를 대상으로 함. 클라우드 기반 Exchange Online 서비스는 해당되지 않음.
• 취약점: 온프레미스 환경은 관리 소홀이나 보안 업데이트 지연 등으로 인해 보안 취약점에 노출될 위험이 있음.

3️⃣ Outlook Web Access (OWA, 아웃룩 웹 액세스)

• 정의: 웹 브라우저를 통해 Microsoft Exchange 서버에 접속하여 이메일, 캘린더 등을 사용할 수 있도록 하는 웹 기반 인터페이스.
• 장점: 어디서든 인터넷만 연결되어 있으면 Exchange 서버에 접속 가능.
• ⚠️ 공격 경로: 이번 공격에서 OWA의 로그인 페이지가 악성 스크립트 삽입 경로로 이용됨. 사용자는 로그인 페이지에서 ID와 비밀번호를 입력하므로, 키로거를 통해 해당 정보가 탈취될 수 있음.

4️⃣ Javascript (자바스크립트)

• ️ 정의: 웹 페이지의 동적인 기능을 구현하는 데 사용되는 스크립트 언어.
• ļa 활용: 웹 페이지의 인터랙티브 요소, 애니메이션, 사용자 입력 처리 등에 널리 사용됨.
• 악용: 이번 공격처럼 악성 코드를 삽입하여 사용자 정보를 탈취하는 데 악용될 수 있음.

5️⃣ Security Detection Evasion (보안 탐지 회피)

• 정의: 악성 코드가 백신이나 침입 탐지 시스템과 같은 보안 솔루션에 탐지되지 않도록 하는 기술.
• ️ 방법: 코드 난독화, 정상적인 프로세스 위장, 탐지 시그니처 우회 등 다양한 방법이 사용됨.
• ❗ 위협: 탐지가 어려워 피해 규모가 커지고, 공격이 장기간 지속될 수 있음. 이번 공격에서도 보안 탐지 회피 기술이 사용되어 상당 기간 동안 피해가 누적된 것으로 추정.

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=167322