SOC Prime Bias: 높음

10 Jul 2026 18:34 UTC

피셔들, Meta 비즈니스 계정 관리자 악용

Author Photo
SOC Prime Team linkedin icon 팔로우
피셔들, Meta 비즈니스 계정 관리자 악용
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

요약

정체불명의 위협 행위자가 Meta의 합법적인 Business Manager 서비스를 악용하여 매우 그럴듯한 피싱 이메일을 전송하고 있습니다. 메시지는 URL이 포함된 조작된 비즈니스 이름을 사용하여 대상이 피싱 사이트를 방문하거나 Facebook Messenger 챗봇과 상호 작용하도록 유도합니다. 이 캠페인은 Meta 계정 자격 증명, MFA 코드 및 신분 증명서를 탈취하도록 설계되었습니다.

조사

Huntress는 2026년 6월에 허니팟에서 피싱 이메일을 탐지한 후 공격 체인을 분석했습니다. 조사는 초기 Google 사이트 리디렉션 방법에서 Facebook Messenger 챗봇과 iFramed 피싱 페이지를 사용하는 보다 정교한 접근 방식으로의 전환을 보여 주었습니다. 연구원들은 또한 api.goautolink.com 과 관련된 Telegram 봇을 통해 유출 활동을 추적했습니다.

완화

Meta는 비즈니스 이름에 URL을 사용하려는 비즈니스 계정을 잠그는 기술적 제어를 도입했습니다. 사용자는 예상치 못한 비즈니스 파트너십 요청에 주의하고 연결된 목적지를 주의 깊게 검토해야 합니다. 발신자가 합법적으로 보여도 이메일의 의심스러운 링크를 피하는 것이 주요 방어선으로 남아 있습니다.

응답

의심스러운 비즈니스 파트너십 요청이 감지되면 관리자는 공식 Meta 채널을 통해 그 적법성을 확인해야 합니다. 자격 증명이나 신분 증명서가 노출되면 계정 복구 및 MFA 재설정 조치를 즉시 수행해야 합니다. 조직은 또한 Meta Business Manager 계정을 모니터링하여 무단 액세스 또는 변경을 감시해야 합니다.

공격 흐름

시뮬레이션 실행

전제조건: 텔레메트리 및 기준 사전 점검이 통과하였습니다.

합리적 이유: 이 섹션은 탐지 규칙을 촉발하도록 설계된 적수 기술(TTP)의 정확한 실행을 상세히 설명합니다. 명령과 내러티브는 반드시 식별된 TTP를 직접 반영하고 탐지 논리에 의해 예상되는 정확한 텔레메트리를 생성하는 것을 목표로 해야 합니다. 추상적이거나 관련 없는 예는 오진을 초래할 것입니다.

  • 공격 내러티브 및 명령: 적수는 Meta Business Manager 알림으로 가장한 피싱 이메일을 보냈습니다. 피싱 링크를 테스트하기 위해 자동화하거나 현지화된 스크립트를 사용하여 랜딩 페이지의 정보를 스크랩하기 위해, 공격자는 PowerShell 스크립트를 실행합니다. 이 스크립트에는 하드코딩된 악성 URL이 포함되어 있습니다: sites.google.com/view/profile1012 and aussiecleaningservices.com. 스크립트가 실행될 때, PowerShell 엔진은 스크립트 블록의 전체 내용을 기록하며, 이것이 탐지 규칙을 촉발합니다.

  • 회귀 시험 스크립트:

    # 악성 URL을 스크립트 블록에 포함시켜 탐지 규칙을 촉발하는 시뮬레이션 스크립트.
    $maliciousUrl1 = "https://sites.google.com/view/profile1012"
    $maliciousUrl2 = "http://aussiecleaningservices.com/login"
    
    Write-Host "피싱 링크 처리 시뮬레이션 중..."
    $testString = "Processing links: $maliciousUrl1 and $maliciousUrl2"
    Write-Output $testString
  • 정리 명령:

    # 시스템에 영구적인 변경이 없으므로 정리가 필요하지 않습니다.
    # 전사 파일이 생성된 경우, 삭제하십시오:
    # Remove-Item C:Users<User>DocumentsPowerShell_Transcript.txt -ErrorAction SilentlyContinue