🚨 Microsoft SharePoint를 노린 최신 피싱 공격, 당신의 계정도 위험할 수 있습니다!(feat. Havoc C2)

최근 Microsoft SharePoint 계정을 표적으로 삼은 정교한 피싱 공격이 발견되었습니다.
이 공격은 단순한 이메일 링크 클릭이 아닌, 사용자가 직접 행동하도록 유도하는 새로운 방식을 활용하고 있어
더욱 위험합니다.
이번 공격은 ClickFix 스타일을 적용해 피해자가 직접 PowerShell 명령어를 실행하게 만들고,
이를 통해 Havoc C2(Command-and-Control) 프레임워크를 설치하여 시스템을 장악하는 것이 목표입니다.

일반적인 피싱 공격보다 훨씬 교묘한 방법을 사용하기 때문에 기업 및 개인 사용자 모두 각별한 주의가 필요합니다.
이번 글에서는 해당 공격이 어떻게 진행되는지, 그리고 이를 방어하기 위한 방법을 쉽게 설명해 드리겠습니다. 🔍

---

🛠️ Havoc C2 프레임워크란?

Havoc은 침투 테스터(레드팀)와 방어팀(블루팀)을 위해 설계된 현대적이고 유연한
명령제어(Command-and-Control, C2) 프레임워크입니다.
이 프레임워크는 Golang, C++, Qt로 작성되었으며, 공격자가 감염된 시스템을 원격으로 제어하고
모니터링할 수 있도록 설계되었습니다.

주요 특징

• 다양한 플랫폼 지원: Havoc은 다양한 운영 체제에서 작동하며,
                                   HTTP(S) 및 SMB와 같은 여러 통신 프로토콜을 지원합니다.​
• 확장성: 사용자가 외부 C2 기능을 통해 프레임워크를 확장하거나,
               사용자 정의 에이전트 및 플러그인을 추가할 수 있습니다.​
• 고급 회피 기술: 간접 시스템 호출, 수면 난독화 등의 기술을 구현하여
                            안티바이러스(AV) 및 엔드포인트 탐지 및 대응(EDR) 솔루션을 우회할 수 있습니다.

구성 요소

1. Teamserver: 연결된 운영자 관리, 리스너 설정, 페이로드 생성 등을 담당합니다.
2. Client: 사용자 인터페이스로, 운영자가 에이전트와 상호 작용하고 명령을 실행하며 출력을 받을 수 있습니다.​
3. Demon: Havoc의 주요 에이전트로, C 및 어셈블리어(ASM)로 작성되었으며,              
                 다양한 포스트 익스플로잇(post-exploit) 기능을 제공합니다.

---

📌 공격 방식 한눈에 보기

이번 공격은 Microsoft SharePoint와 OneDrive 서비스 장애를 가장하여 사용자를 속입니다.
아래는 공격이 진행되는 주요 단계입니다.

🔹 1. 이메일을 통해 "긴급 공지" 전달

공격자는 피해자에게 긴급한 메시지가 담긴 이메일을 보냅니다.

• 이메일에는 "제한된 공지(restricted notice)가 있으니 확인하세요" 같은 경고성 문구가 포함됩니다.
• 사용자들은 이 메시지를 믿고 첨부된 'Documents.html' 파일을 열도록 유도됩니다. 📨

🔹 2. 가짜 오류 메시지로 PowerShell 실행 유도

• HTML 파일을 열면 "OneDrive 연결 오류 발생" 같은 가짜 오류 메시지가 표시됩니다.
• 사용자는 이를 해결하기 위해 직접 PowerShell 창을 열고, 안내된 명령어를 복사하여 실행하도록 유도됩니다. ⚠️

🔹 3. 악성 PowerShell 코드 실행

• 사용자가 PowerShell 명령을 실행하면, SharePoint에 숨겨진 추가 악성 코드가 다운로드됩니다.
• 여기서 Python 기반 Havoc C2 프레임워크가 설치되며, 공격자는 감염된 시스템을 원격으로 제어할 수 있게 됩니다.

🔹 4. Microsoft Graph API를 활용한 탐지 회피

• 공격자는 Microsoft의 공식 API(Microsoft Graph API)를 악용하여 C2 트래픽을 숨김으로써
  보안 시스템이 탐지하기 어렵게 만듭니다.
• 결국, 피해자는 자신도 모르는 사이에 공격자에게 시스템의 모든 권한을 넘겨주게 되는 상황이 발생합니다. 😱

---

🛡️ 피싱 공격을 예방하는 5가지 방법

이제부터가 중요합니다! 이런 공격으로부터 내 계정을 안전하게 지키려면 어떻게 해야 할까요?
아래 5가지 핵심 보안 수칙을 꼭 기억하세요! ✅

1️⃣ 의심스러운 HTML 파일 실행 금지

• 이메일에 첨부된 .html 파일은 무조건 의심하고 열지 마세요!
• 특히 Microsoft나 OneDrive 오류 수정 요청이 담긴 이메일이라면 더욱 주의가 필요합니다.

2️⃣ PowerShell 실행을 요구하는 메시지는 무조건 경계

• 이메일이나 웹사이트에서 PowerShell이나 명령 프롬프트 실행을 요구한다면 이는 99% 피싱 공격입니다.
• 실제 Microsoft에서는 이런 방식으로 문제 해결을 요청하지 않습니다. ❌

3️⃣ 보안 솔루션 및 OS 최신 업데이트 유지

• 최신 보안 업데이트를 적용하면 공격자가 악용할 수 있는 취약점을 줄일 수 있습니다.
• 백신 프로그램도 항상 최신 상태로 유지하세요! 🔄

4️⃣ MFA(다중 인증) 활성화

• MFA(다중 인증)를 활성화하면 설령 계정 정보가 유출되더라도 공격자가 로그인하는 것을 방지할 수 있습니다.
• 특히 기업용 SharePoint 및 OneDrive 계정이라면 반드시 MFA를 설정하세요! 🔐

5️⃣ AI 기반 API 보안 솔루션 도입

• Microsoft Graph API를 악용하는 공격을 탐지하려면 AI 기반 API 보안 솔루션이 필요합니다.
• 실시간 트래픽을 분석하여 의심스러운 API 요청을 탐지하고 차단하는 것이 중요합니다.

---

🚀 결론: 보안 인식이 최고의 방어책

이번 SharePoint 피싱 공격은 단순한 링크 클릭이 아닌, 사용자가 직접 행동하도록 유도하는 방식을 사용하기 때문에
더욱 위험합니다.
하지만 우리가 보안 인식을 높이고, 올바른 대응 방법을 숙지한다면 피해를 방지할 수 있습니다! 💪

📢 이 글을 주변 동료나 가족과 공유하여 모두가 보안 위협에 대비할 수 있도록 해주세요!

안전한 인터넷 환경을 위해 항상 경계하고, 보안 수칙을 철저히 지킵시다. 🚧 🔒