마이크로소프트, 증가하는 피싱 구독 서비스와 연결된 340개 웹 사이트 압수

마이크로소프트는 화요일에 사용자가 최소 5,000개의 마이크로소프트 사용자 자격 증명을 훔치는 피싱 작업을 수행할 수 있도록 하는 나이지리아 기반 서비스와 연결된 약 340개의 웹 사이트를 압수했다고 밝혔다.

마이크로소프트 MSFT는 이달 초 미국 맨해튼 지방법원( )으로부터 사용자가 한 번에 수천 개의 이메일을 보내는 대규모 피싱 캠페인을 수행할 수 있게 해주는 구독 서비스인 Raccoon0365와 관련된 도메인을 압수하라는 명령을 받았다고 마이크로소프트(MS)의 디지털 범죄 부서 법률 고문인 스티븐 마사다(Steven Masada)가 밝혔습니다.

850명 이상의 가입자를 보유한 비공개 텔레그램 채널을 통해 운영되는 라쿤0365의 서비스는 사용자가 신뢰할 수 있는 브랜드를 사칭하여 가짜 마이크로소프트 로그인 페이지에 마이크로소프트 로그인 자격 증명을 입력하도록 유도한다고 마사다는 마이크로소프트 웹사이트에 게시한 블로그(link)에서 밝혔습니다.

마사다는 이 서비스가 2024년 7월에 출시된 이후 소규모 운영자 그룹이 최소 10만 달러의 암호화폐를 지불했다고 블로그에서 밝혔습니다.

마이크로소프트는 이달 초 며칠에 걸쳐 웹사이트 압수수색이 이루어졌다고 밝혔습니다.

마이크로소프트는 나이지리아에 거주하는 조슈아 오군디페가 라쿤0365의 리더이자 주요 운영자라고 밝혔습니다. 오군디페는 Microsoft가 법원에 제출한 이메일 주소로 보낸 논평 요청에 즉시 응답하지 않았습니다.

마사다는 "사이버 범죄자들이 광범위한 피해를 입히기 위해 정교할 필요는 없습니다."라고 말합니다. "Raccoon0365와 같은 간단한 도구는 거의 모든 사람이 사이버 범죄에 접근할 수 있게 하여 수백만 명의 사용자를 위험에 빠뜨립니다."

마사다는 Raccoon0365 가입자들이 광범위한 산업을 표적으로 삼았으며, 별도의 법원 서류에 따르면 Raccoon0365 활동의 "상당 부분"이 뉴욕시에 기반을 둔 조직을 표적으로 삼았다고 주장했습니다.

마사다는 4월에 게시된 회사 블로그(link)에 따르면 올해 2월 12일부터 2월 28일 사이에 주로 미국에 있는 2,300개 이상의 조직을 대상으로 세금 테마 피싱 이메일을 사용한 Raccoon0365 관련 활동을 확인했다고 말했습니다.

회원 의료 기관에 사이버 보안 서비스를 제공하고 마이크로소프트와 함께 공동 원고인 건강 정보 공유 및 분석 센터 (Health-ISAC) 의 최고 보안 책임자 에롤 와이스는 라쿤0365가 최소 5개의 익명의 의료 기관에서 피싱 캠페인을 통해 자격 증명 수집에 성공했으며 전체적으로 25개의 의료 부문 기관을 표적으로 삼았다고 말했습니다.

해커가 이러한 액세스 권한을 확보하면 여러 가지 일이 발생할 수 있다고 와이스는 말합니다.

와이스는 인터뷰에서 "대부분의 공격은 누군가가 자신의 사용자 이름과 비밀번호를 해커에게 알려주는 것에서 시작됩니다."라고 말했습니다. "일단 사이버 범죄자가 네트워크에 액세스하게 되면 그 다음 단계와 수익 창출 방식은 상상력에 달려 있습니다."

인터넷 서비스 회사는 자체 블로그 게시물(link)에서 Raccoon0365 운영자가 서비스의 백엔드 인프라를 숨기기 위해 Cloudflare가 제공하는 서비스를 사용했다고 밝혔습니다. 클라우드플레어는 마이크로소프트 및 미국 비밀경호국과 협력하여 플랫폼에서 Raccoon0365 운영을 중단하고 운영자가 새로운 계정을 만들지 못하도록 막았다고 밝혔습니다.

Cloudflare의 위협 인텔리전스 책임자인 블레이크 다쉐는 인터뷰에서 Raccoon0365 운영자들이 몇 가지 주요 운영 보안 실수를 저질렀지만 매우 효과적이었다고 말했습니다.

"그들은 사람들의 계정에 침입하여 많은 사람들을 침해하고 있으며, 이는 분명히 막아야 합니다."라고 그는 말했습니다.