美 대학은 대학로그인 포털을 사칭하여 오피스 365 자격 증명을 훔치도록 설계된 여러 피싱 공격의 표적이 되고 있다. 최신 캠페인에 사용된 미끼에는 코로나19 델타 및 오미크론 변종과 이들이 교육 프로그램에 미치는 영향에 대한 다양한 주제가 포함된다.

이러한 캠페인은 2021년 10월부터 여러 위협 행위자가 수행한 것으로 추정되며 보안업체 Proofpoint社는 피싱 공격에 사용된 TTP에 대한 세부 정보를 공개했다.

Proofpoint社에 따르면 피싱 공격은 새로운 오미크론 변종, 코로나19 테스트 결과, 추가 테스트 요구 사항 또는 수업 변경에 대한 정보를 가장하는 이메일로 시작된다. 이러한 이메일은 수신자가 첨부된 HTM 파일을 클릭하도록 요구하며 이를 클릭하면 해당 대학의 로그인 포털에 대한 복제된 로그인 페이지로 이동한다.

피싱 이메일과 함께 도착하는 HTM 첨부 파일

Proofpoint社가 공개한 샘플에 따르면 문서는 양식면에서 매우 설득력 있어보이며 URL은 .edu 도메인과 유사한 도메인을 사용하며 실제 사이트와 매우 유사한 명명 패턴을 사용한다. 예를 들어 Arkansas State University의 학생들을 대상으로 한 피싱 공격은 sso2[.]astate[.]edu[.]boring[.]cf의 URL을 사용했다.

HTM 첨부파일은 행위자가 멀웨어를 대상 장치에 삽입할 수 있도록 하기 때문에 최근 피싱에서 큰 성공을 거두고 있다. 그러나 이 경우 HTM에는 자격 증명 도용 사이트에 대한 링크가 포함되어있다. 경우에 따라 이러한 대상은 자격 증명을 도용하도록 손상된 정상 WordPress 사이트 이므로 피해자가 방문했을 때 인터넷 보안 또는 이메일 보호 도구에 의해 alert가 발생하지 않는다.

Proofpoint社가 공유한 URL에 따르면 이러한 공격의 표적이 된 대학 중 일부는 University of Central Missouri, Vanderbilt, Arkansas State University, Purdue, Auburn, West Virginia University 및 University of Wisconsin-Oshkosh 등이 있다.

 

[출처 : BleepingComputer / 12.7.]