알려지지 않은 위협 행위자가 이메일 보안 업체인 Proofpoint의 방어 시스템에서 이메일 라우팅 오류를 악용해 Best Buy, IBM, Nike, Walt Disney 등 다양한 유명 기업을 스푸핑하는 수백만 개의 메시지를 보낸 대규모 사기 캠페인에 연루된 것으로 드러났습니다.
“이러한 이메일은 인증된 SPF 및 DKIM 서명이 있는 공식 Proofpoint 이메일 릴레이에서 반사되어 주요 보안 보호 기능을 우회했습니다. 모두 수신자를 속이고 자금과 신용 카드 정보를 훔치기 위한 것입니다.” Guardio Labs 연구원 Nati Tal은 The Hacker News와 공유한 자세한 보고서에서 이렇게 말했습니다.
사이버 보안 회사는 캠페인에 이름을 붙였습니다. 에코스푸핑. 이 활동은 2024년 1월에 시작된 것으로 추정되며, 위협 행위자는 이 허점을 악용하여 하루 평균 최대 300만 개의 이메일을 보냈고, Proofpoint가 대책을 시행하기 시작한 6월 초에는 이 숫자가 1,400만 개로 최고치를 기록했습니다.
“이 도메인의 가장 독특하고 강력한 부분은 스푸핑 방법입니다. 이 이메일이 해당 회사에서 보낸 진짜 이메일이 아니라는 것을 알아차릴 기회가 거의 없습니다.” Tal이 출판물에 말했습니다.
“이 에코스푸핑 개념은 정말 강력합니다. 부티크 스피어피싱 캠페인 대신 이런 대규모 피싱에 사용된다는 건 좀 이상하죠. 부티크 스피어피싱 캠페인은 공격자가 모든 실제 회사 팀원의 신원을 빠르게 빼내 다른 동료에게 이메일을 보낼 수 있는 캠페인인데, 결국 고품질 소셜 엔지니어링을 통해 내부 데이터나 자격 증명에 액세스하고 심지어 회사 전체를 손상시키기도 합니다.
위협 행위자가 가상 사설 서버(VPS)의 SMTP 서버에서 메시지를 보내는 이 기술은 SPF(Sender Policy Framework) 및 DKIM(DomainKeys Identified Mail)과 같은 인증 및 보안 조치를 준수한다는 점에서 주목할 만합니다. DKIM은 각각 Sender Policy Framework 및 DomainKeys Identified Mail의 약자로, 공격자가 합법적인 도메인을 모방하지 못하도록 설계된 인증 방법을 의미합니다.
결국 이러한 메시지는 적대적인 세력이 통제하는 다양한 Microsoft 365 테넌트에서 라우팅된 다음 Proofpoint 기업 고객의 이메일 인프라를 통해 Yahoo!, Gmail, GMX와 같은 무료 이메일 공급자의 사용자에게 전달된다는 사실로 귀결됩니다.
Guardio가 설명한 바에 따르면 이는 Proofpoint 서버(“pphosted.com”)의 “매우 허용되는 잘못된 구성 결함”으로 인해 발생하는 결과이며, 이를 통해 스패머가 이메일 인프라를 악용해 메시지를 보낼 수 있었습니다.
Proofpoint는 The Hacker News와 공유한 조정된 공개 보고서에서 “근본 원인은 Microsoft 365 테넌트에서 조직의 아웃바운드 메시지를 릴레이할 수 있도록 하는 Proofpoint 서버의 수정 가능한 이메일 라우팅 구성 기능이지만, 허용할 M365 테넌트를 지정하지 않은 것입니다.”라고 밝혔습니다.
“이 이메일 라우팅 구성 기능을 제공하는 모든 이메일 인프라는 스패머에 의해 남용될 수 있습니다.”
다르게 말하면, 공격자는 이러한 단점을 무기화하여 사기성 Microsoft 365 테넌트를 설정하고 Proofpoint의 릴레이 서버로 위조된 이메일 메시지를 전송할 수 있으며, 여기서 해당 메시지는 고객 도메인을 가장한 진짜 디지털 메시지로 “반향”됩니다.
이는 Exchange Server의 발신 이메일 커넥터를 고객과 관련된 취약한 “pphosted.com” 엔드포인트에 직접 구성하여 수행됩니다. 또한 PowerMTA라는 합법적인 이메일 전달 소프트웨어의 크랙된 버전을 사용하여 메시지를 보냅니다.
Proofpoint는 “스패머는 여러 공급업체의 임대 가상 사설 서버(VPS)를 순환적으로 사용했으며, 다양한 IP 주소를 사용하여 SMTP 서버에서 한 번에 수천 개의 메시지를 빠르게 대량으로 전송하여 Microsoft 365로 전송한 다음 Proofpoint에서 호스팅하는 고객 서버로 전달했습니다.”라고 밝혔습니다.
“Microsoft 365는 이러한 스푸핑된 메시지를 수락하여 릴레이되도록 이 고객의 이메일 인프라로 전송했습니다. 일치하는 고객의 이메일 인프라를 통해 릴레이하는 동안 고객 도메인이 스푸핑되었을 때, 메시지가 Proofpoint 인프라를 통해 전송될 때 DKIM 서명도 적용되어 스팸 메시지를 더 쉽게 전달할 수 있었습니다.”
에코스푸핑은 운영자들이 불법적인 수익을 창출하고 장기간 노출 위험을 피하기 위한 방법으로 의도적으로 선택한 것으로 의심받고 있습니다. 이런 수법으로 회사를 직접 표적으로 삼는다면 발각될 가능성이 크게 높아져 사실상 전체 계획이 위험에 처할 수 있기 때문입니다.
그럼에도 불구하고 현재 캠페인의 배후에 누가 있는지는 불분명합니다. Proofpoint는 이 활동이 알려진 위협 행위자나 그룹과 겹치지 않는다고 말했습니다.
“3월에 Proofpoint 연구원들은 Microsoft 365 테넌트에서 스팸을 보내 소수의 Proofpoint 고객의 이메일 인프라를 통해 전달되는 스팸 캠페인을 확인했습니다.”라고 성명에서 밝혔습니다. “모든 분석에 따르면 이 활동은 알려진 엔터티에 기인하지 않는 한 명의 스팸 행위자에 의해 수행되었습니다.”
“이 스팸 캠페인을 발견한 이후로, 우리는 시정 지침을 제공하기 위해 부지런히 노력해 왔습니다. 여기에는 고객이 어떤 M365 테넌트가 릴레이를 허용하고, 다른 모든 M365 테넌트는 기본적으로 거부하도록 지정할 수 있는 간소화된 관리 인터페이스 구현이 포함됩니다.”
Proofpoint는 이러한 캠페인의 결과로 고객 데이터가 노출되지 않았으며, 누구도 데이터 손실을 경험하지 않았다고 강조했습니다. 또한 일부 고객에게 직접 연락하여 아웃바운드 릴레이 스팸 활동의 효과를 중단하기 위해 설정을 변경했다고 덧붙였습니다.
“스패머의 활동을 차단하기 시작하자 스패머는 테스트를 가속화하고 다른 고객에게 빠르게 이동했습니다.”라고 회사는 지적했습니다. “우리는 매일 영향을 받는 고객을 식별하고 구성을 수정하기 위해 아웃리치의 우선순위를 다시 정하는 지속적인 프로세스를 확립했습니다.”
스팸을 줄이기 위해 VPS 제공업체에 인프라에 호스팅된 SMTP 서버에서 대량의 메시지를 보내는 사용자의 기능을 제한하도록 촉구하고 있습니다. 또한 이메일 서비스 제공업체에 무료 평가판 및 새로 생성된 검증되지 않은 테넌트의 기능을 제한하여 대량 아웃바운드 이메일 메시지를 보내고, 소유권이 입증되지 않은 도메인을 스푸핑하는 메시지를 보내는 것을 방지하도록 요구하고 있습니다.
“CISO에게 가장 중요한 요점은 조직의 클라우드 포스처를 특별히 관리하는 것입니다. 특히 회사의 네트워킹 및 커뮤니케이션 방법의 중추가 되는 타사 서비스를 사용하는 것입니다.” Tal이 말했습니다. “특히 이메일 분야에서는 항상 피드백 루프를 유지하고 직접 제어하세요. 이메일 제공자를 완전히 신뢰하더라도 말입니다.”
“그리고 이런 종류의 백본 서비스를 제공하는 다른 회사들에 대해 말하자면 – Proofpoint가 한 것처럼, 그들은 처음부터 모든 유형의 위협을 생각하는 데 있어 경계하고 적극적이어야 합니다. 고객에게 직접 영향을 미치는 위협뿐만 아니라 더 넓은 대중에게도 영향을 미칩니다.
“이것은 우리 모두의 안전에 매우 중요하며, 인터넷의 중추를 만들고 운영하는 회사는 비록 사적으로 소유된 회사라 할지라도 가장 큰 책임을 져야 합니다. 완전히 다른 맥락에서 한 사람이 말했듯이, 여기서 매우 적절합니다. ‘큰 힘에는 큰 책임이 따른다.'”
