[데일리시큐]아마존, 마이크로소프트 디바이스 코드 인증 악용한 APT29 워터링 홀 공격 차단

내용 요약

아마존은 러시아 연계 해킹그룹 APT29가 실행한 워터링 홀 캠페인을 탐지·차단했다. 공격자는 마이크로소프트 Device Code Authentication Flow를 악용해 사용자가 승인한 장치를 통해 계정·데이터를 탈취했고, 다수 정상 웹사이트에 난독화된 자바스크립트를 삽입해 방문자를 공격자 도메인으로 리디렉션했다.

핵심 포인트

• 워터링 홀: 특정 타깃이 자주 방문하는 신뢰할 수 있는 사이트를 침해해 공격 트래픽을 유도.
• Device Code Authentication Flow 악용: 인증 코드 흐름을 변조해 사용자가 승인한 장치를 가로채어 세션 탈취.
• 난독화 자바스크립트 + 리디렉션: 약 10 %의 방문자를 공격자가 제어하는 도메인으로 전환해 피싱·멀웨어 설치를 가속화.

기술 세부 내용

1️⃣ Watering Hole Attack

• 대상 선정: APT29는 공격 대상(기업, 정부 기관 등)이 자주 접속하는 웹사이트를 조사를 통해 선정.
• 침투 단계
  1. 취약점 악용 → 웹서버나 CMS에 익스플로잇 삽입.
  2. 정적/동적 파일 삽입 → 난독화된 자바스크립트(또는 메타 태그) 삽입.
  3. 사용자 트래픽 가로채기 → 방문자가 로드 시 스크립트가 실행되어 공격자가 만든 도메인으로 리디렉션.
• 목적: 사용자를 신뢰성 있는 환경에서 끌어들여 초기 접근을 확보함으로써 후속 공격(피싱·멀웨어 등)의 성공률을 높임.

2️⃣ Device Code Authentication Flow Exploit

• 정의: OAuth 2.0 기반 인증 모델 중, 장치가 별도 화면 없이 인증 코드를 입력받는 흐름.
• 취약점 포인트
  1. 코드 가로채기 → 악의 장치가 인증 코드 입력 페이지를 가로채어 코드 유출.
  2. 승인 요청 변조 → 사용자에게 가짜 장치를 승인하도록 유도.
  3. 토큰 획득 → 획득한 인증 코드로 액세스 토큰을 교환, 세션을 획득.
• APT29 활용 사례
  • 워터링 홀에서 삽입된 자바스크립트가 사용자 장치에 악성 스크립트를 삽입해 Device Code를 요청.
  • 공격자가 제어하는 서버가 인증 코드를 가로채어 사용자 계정과 데이터에 접근.

3️⃣ JavaScript Obfuscation & Redirection

• 난독화: 변수명, 함수명, 문자열을 랜덤값으로 치환해 분석 방지.
• 리디렉션 로직
  1. setTimeout 또는 XMLHttpRequest를 이용해 잠시 지연 후 location.href = 'https://fi…'.
  2. 조건부 트리거 → 특정 쿠키, 사용자 에이전트, 지리적 위치에 따라 공격 도메인 전환.
• 보안 대응
  • CSP(Content‑Security‑Policy) 설정으로 외부 스크립트 차단.
  • 서명 검증(subresource integrity)을 통해 정상 스크립트 여부 판단.

참고: 위 기술들은 서로 연계되어 작동하며, 한 단계라도 차단하면 전체 침해 경로가 끊어집니다.

 

출처: http://www.dailysecu.com/news/articleView.html?idxno=169240