새로운 줌 피싱, SEGs 우회를 위해 Constant Contact 악용

도전적인 2020년은 많은 기업들이 인터넷 의존도를 증가시키며 재택근무로 전환하는 해였습니다. 이러한 추세로 인해 화상 회의 앱 사용이 급격히 증가했습니다. 사이버 범죄자들은 악의적인 관점을 활용할 기회를 놓치지 않았습니다. 2020년 봄부터 그들은 악성 광고와 실행 파일을 전달하기 위해 많은 가짜 도메인을 등록했습니다. 게다가 화상회의 “붐”은 사이버 스파이 활동에 광범위한 기회를 제공했습니다. 이 추세는 올해도 계속 탄력을 받고 있습니다. 2021년 1월, 보안 연구자들은 또 다른 줌 피싱으로 이익을 얻는 캠페인을 발견했습니다.

새로운 줌 피싱

새로운 속임수는 자격 증명을 훔치기 위해 Zoom 지원을 사칭하려고 시도합니다. 특히 사용자는 Zoom 서버가 업그레이드되었으므로 모든 고객이 초대하거나 통화에 참여할 수 있는 능력을 유지하기 위해 계정을 확인해야 한다는 가짜 이메일을 받습니다. 메시지는 사용자가 링크를 따라가도록 유도하며, 이는 자격 증명을 수집할 수 있는 가짜 피싱 페이지로 이동합니다. 모든 이메일은 “Zoom – no-reply@zoom(.)us” 표시가 “보낸 사람” 필드에 있어 피해자들이 이메일이 실제로 Zoom에서 온 것처럼 믿게 만듭니다.

특히, 이 피싱 이메일은 Constant Contact 이메일 마케팅 서비스를 통해 전송되었습니다. 해커는 다른 보안 이메일 게이트웨이(SEGs)를 우회하기 위한 노력으로 추측되는 단일 사용자 계정을 침해하여 공격을 확산했습니다. 연구자들은 이 방법이 성공적이었다고 확인했으며, 가짜 이메일이 최소한 다섯 개의 SEG 환경에서 탐지되었습니다.

Zoom 공격 탐지

SOC Prime 팀은 Zoom 공격을 면밀히 주시하여 빠른 탐지를 제공하고 이러한 위협으로부터의 예방적인 방어를 보장합니다. 이전에 우리는 사용자가 Zoom 서비스를 보안 강화하는 방법에 대한 실용적인 가이드를 발행했습니다. 또한, 다운로드 하여 나쁜 Zoom 도메인, 가짜 설치 프로그램 및 가짜 초대장에서 방어를 강화할 수 있는 Threat Detection Marketplace에서 거의 20개의 규칙을 받을 수 있습니다.

최신 피싱 캠페인에 대한 전용 커뮤니티 규칙도 Osman Demir, 가장 뛰어난 Threat Bounty 개발자 중 한 명 덕분에 Threat Detection Marketplace에서 이미 이용 가능합니다:

https://tdm.socprime.com/tdm/info/p8hnRPj8Vy7p/4dXzYncBmo5uvpkju4Ha/#rule-context

이 규칙은 다음 플랫폼으로 번역됩니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix

EDR: Carbon Black

MITRE ATT&CK: 

전술: 초기 접근

기술: 스피어 피싱 링크 (T1566)

동적으로 등장하는 사이버 위협과 싸우기 위한 최고의 SOC 콘텐츠를 찾고 계십니까? Threat Detection Marketplace의 무료 구독을 받으세요 그리고 90,000개 이상의 SOC 콘텐츠 라이브러리를 통해 사이버 공격 탐지의 평균 시간을 줄이세요. 직접 Sigma 규칙을 작성하고 위협 사냥 이니셔티브를 강화하고 싶으신가요? Threat Bounty 프로그램에 참여하세요 SOC Prime 커뮤니티와 귀하의 통찰력을 공유하십시오!