해커들이 Microsoft 365 기능을 악용하여 피싱 이메일을 전송하다

Varonis 관리 데이터 탐지 및 대응(MDDR) 포렌식 팀은 Microsoft의 “직접 전송” 기능을 사용하여 내부 사용자를 가장하고 피싱 이메일을 전송하는 정교한 피싱 캠페인을 발견했습니다. 이 캠페인은 계정을 침해할 필요 없이 이메일을 전달합니다.

Varonis의 연구원들에 따르면, 2025년 5월부터 활동해온 이 캠페인은 주로 미국에 있는 70개 이상의 조직을 대상으로 하며, 인증 없이 프린터와 같은 장치가 이메일을 전송할 수 있도록 돕기 위해 설계된 기능을 악용하고 있습니다. 이 기능은 이제 위협 행위자들이 조직 내부에서 온 것처럼 보이는 기만적인 이메일을 전송하는 데 조작되고 있으며, 단 하나의 계정도 침해하지 않고 이루어집니다.

“이 공격의 단순함이 그것을 매우 위험하게 만드는 요소입니다.”라고 Varonis의 포렌식 분석을 이끈 Michael Solomon이 말했습니다. “자격 증명, 악성 코드, 또는 심지어 목표 환경에 대한 접근이 필요하지 않습니다. 필요한 것은 공용 IP와 기본 PowerShell 스크립트뿐입니다.”

공격 작동 방식

직접 전송은 Microsoft Exchange Online의 기능으로, 장치와 애플리케이션이 인증 없이 Microsoft 365 테넌트 내에서 이메일을 전송할 수 있도록 합니다(예: tenantname.mail.protection.outlook.com). 이는 내부 사용을 위해 설계되었으며 로그인 자격 증명이 필요하지 않습니다.

이로 인해 공격자에게 기회가 생깁니다: 테넌트 도메인을 식별하고 유효한 이메일 주소를 추측할 수 있다면(일반적인 형식인 [email protected]와 같은), 로그인하거나 테넌트를 건드리지 않고도 조직 내부에서 온 것처럼 보이는 스푸핑된 이메일을 보낼 수 있습니다.

이 스푸핑된 메시지는 Microsoft 인프라를 통해 라우팅되기 때문에 발신자 인증, 평판 또는 외부 라우팅 신호에 의존하는 이메일 필터를 우회하는 경우가 많습니다. 결과적으로 이메일은 합법적인 내부 메시지처럼 보입니다.

PowerShell로 쉽게 실행

해커들은 공격을 시작하기 위해 간단한 PowerShell 스크립트를 사용하여 직접 전송을 통해 스푸핑된 이메일을 보냈습니다. 이러한 메시지는 종종 “ 새로운 누락된 팩스 메시지 ” 또는 “ 발신자가 음성 메시지를 남겼습니다 ”와 같은 주제를 가진 합법적인 내부 경고를 모방합니다. 이메일에는 일반적으로 음성 메일로 위장된 PDF 첨부 파일이 포함되어 있습니다. 이러한 PDF에는 사용자들을 자격 증명 수집 사이트로 리디렉션하는 QR 코드가 포함되어 있습니다.

Varonis의 MDDR 포렌식 팀은 발신자 IP 주소, 메시지 내용 및 행동의 유사성을 기반으로 여러 사례를 연결했습니다. 실제 사례 중 하나는 로그인 시도 없이 우크라이나 IP 주소에서 발생한 이메일 활동으로, 이는 직접 전송 남용을 나타내는 비정상적인 패턴이었습니다.

이 이메일이 탐지를 피하는 이유

이러한 메시지가 전통적인 보안 도구를 피할 수 있는 몇 가지 요인이 있습니다:

• 직접 전송을 통해 이메일을 보내는 데 인증이 필요하지 않습니다.
• 이메일은 조직 내부에서 온 것처럼 보입니다.
• SPF, DKIM 및 DMARC 검사를 통과하지 못하지만 여전히 배달될 수 있습니다.
• Microsoft의 필터링은 이를 내부 간의 메시지로 처리할 수 있습니다.

이러한 공격을 탐지하려면 이메일 헤더를 면밀히 검사하여 스마트 호스트와 상호 작용하는 외부 IP 및 실패한 인증 검사와 같은 비정상적인 징후를 찾아야 합니다. 다른 행동적 적신호로는 자신의 주소에서 발송된 이메일, PowerShell을 사용하여 전송된 메시지, 예상치 못한 또는 외국 위치에서 발생한 이메일 활동이 포함됩니다.

보호 조치

이 위협으로부터 방어하고 보호하기 위해 Varonis는 조직이 다음 단계를 취할 것을 권장합니다:

• Exchange 관리 센터에서 “직접 전송 거부”를 활성화합니다.
• 엄격한 DMARC 정책을 구현합니다(예: p=reject).
• 인증되지 않은 내부 메시지를 플래그 지정하거나 격리합니다.
• Exchange Online Protection(EOP) 내에서 “SPF 하드 실패” 설정을 시행합니다.
• 스푸핑 방지 정책을 사용합니다.
• 피싱 및 QR 코드 기반 공격(일명 “quishing”)에 대해 직원들을 교육합니다.
• 자기 주소로 발송된 메시지 및 예상치 못한 IP 사용과 같은 비정상적인 이메일 발송 행동을 모니터링합니다.
• 원치 않는 전송 남용을 방지하기 위해 SPF 레코드에 정적 IP 주소를 시행합니다 — Microsoft의 권장 사항이지만 선택 사항인 모범 사례입니다.

“직접 전송은 강력한 기능이지만 잘못된 손에 들어가면 위험한 공격 벡터가 됩니다. 스푸핑된 내부 이메일을 적극적으로 모니터링하지 않거나 이러한 보호 조치를 활성화하지 않았다면 지금이 바로 그 시점입니다. 내부가 안전하다고 가정하지 마십시오.”라고 Varonis는 결론지었습니다.