보안 연구진은 공격자가 no-code 앱 개발 플랫폼인 Bubble을 악용해 Microsoft 계정을 노리는 피싱 공격을 수행하고 있다고 밝혔다. 이 공격은 악성 웹 애플리케이션을 생성하고 호스팅하는 방식으로 이루어진다. 해당 웹 앱이 정상 플랫폼에서 호스팅되기 때문에 이메일 보안 솔루션이 이를 잠재적인 위협으로 탐지하지 못한다. 이로 인해 사용자는 별다른 경고 없이 해당 페이지에 접근하게 된다. 보안 연구진에 따르면 공격자는 이 기법을 이용해 사용자를 실제 피싱 페이지로 리디렉션하고 있다. 이 피싱 페이지는 종종 Cloudflare 검증 절차 뒤에 숨겨진 Microsoft 로그인 포털을 모방한다고 밝혔다. 이러한 가짜 페이지에 입력된 자격 증명은 공격자에게 전송된다. 공격자는 이를 이용해 이메일, 일정, 기타 Microsoft 365 관련 민감 데이터에 접근할 수 있다. [그림 1. Microsoft를 사칭한 피싱 페이지] Bubble은 코딩이 필요 없는 AI 기반 플랫폼으로, 사용자가 만들고자 하는 앱을 설명하면 자동으로 백엔드 로직과 프론트엔드를 생성해 준다. 생성된 앱은 Buuble의 인프라에서 *.bubble.io 도메인에서 호스팅된다. 이 도메인은 신뢰된 것으로 간주되어 이메일 솔루션에서 보안 경고를 유발하지 않을 가능성이 높다. 공격자는 이 점을 악용하여, 대규모의 복잡한 JavaScript 코드와 Shadow DOM 구조를 포함한 Bubble 앱을 생성한다. 이러한 구조는 정적 분석 및 자동 분석 도구에서 리디렉션 스크립트로 탐지되거나 악성으로 분류되지 않는다. 보안 연구진은 "이 플랫폼이 생성하는 코드는 방대한 JavaScript 코드와 분리된 Shadow DOM(문서 객체 모델) 구조로 이루어져 있다"고 설명했다. 이어 "전문가조차 처음에는 동작을 파악하기 어렵고, 내부 구조를 깊이 분석해야 목적을 이해할 수 있다"고 밝혔다. 또한 "자동화된 웹 코드 분석 알고리즘은 이를 정상적인 기능 사이트로 오판할 가능성이 높다"고 덧붙였다. [그림 2. Bubble 앱의 코드 조각] 연구진은 이처럼 인공지능 기반 앱 빌더를 악용한 피싱 공격을 회피하는 기법이 피싱 서비스(PhaaS) 플랫폼에서 채택될 가능성이 매우 높다고 밝혔다. 이어 해당 기술은 피싱 키트에 통합되어 저숙련 공격자에게도 널리 사용될 수 있다고 경고하였다. 이러한 플랫폼은 이미 다양한 기능을 제공하고 있다. - 세션 쿠키 탈취 - 중간자 공격(Adversary-in-the-Middle, AiTM) 기반 2FA 우회 - 지리적 접근 제한(Geo-fencing) - 분석 회피 기법 - AI 기반 이메일 생성 여기에 정상 플랫폼 악용까지 결합되면 공격의 은밀성은 더욱 높아질 것으로 보인다. 출처 https://www.bleepingcomputer.com/news/security/bubble-ai-app-builder-abused-to-steal-microsoft-account-credentials/

보안 연구진은 미국, 캐나다, 호주, 뉴질랜드, 독일 등 5개국 340개 이상의 조직을 대상으로 Microsoft 365 계정을 노린 기기 코드 피싱 공격이 진행 중이라고 밝혔다. 한 보안 기업에 따르면, 해당 활동은 2026년 2월 19일 처음 포착되었으며 이후 사례가 급증하고 있다. 특히 이번 활동은 Cloudflare Workers 리디렉션을 악용해, 탈취된 세션을 Railway라는 서비스형 플랫폼(PaaS) 기반 인프라로 전달하고 자격 증명 수집에 활용한다. 이번 공격은 건설, 비영리 단체, 부동산, 제조업, 금융 서비스, 의료, 법률, 정부 등 다양한 산업을 대상으로 수행됐다. 보안 연구진은 "이번 활동이 특이한 점은 기기 코드 피싱 기법만이 아니라, 다양한 공격 기법이 결합된 점이다"라고 밝혔다. 이어 "건설 입찰을 미끼로 한 공격, 랜딩 페이지 코드 생성, DocuSign 사칭, 음성 메일 알림, Microsoft Forms 악용 등 다양한 방식이 동일한 피해 집단을 대상으로 수행되고 있다"고 설명했다. 또한 이러한 공격은 동일한 Railway.com IP 인프라를 통해 이루어지고 있다고 덧붙였다. 기기 코드 피싱은 OAuth 장치 인증 흐름을 악용하는 기법이다.  이를 통해 공격자는 지속적인 액세스 토큰을 획득한 후, 피해자 계정을 탈취할 수 있다. 이 공격 기법에서 중요한 점은 토큰이 계정 비밀번호가 변경된 이후에도 유효하다는 것이다. 공격 흐름은 다음과 같다. 1. 공격자는 정상적인 기기 코드  API를 통해 공급자(예: Microsoft Entra ID)에게 장치 코드를 요청한다. 2. 서비스는 장치 코드(기기 코드)를 반환한다. 3. 공격자는 피해자에게 설득력 있는 이메일을 전송하고, 피해자가 로그인 페이지("microsoft[.]com/devicelogin")에 접속해 코드를 입력하도록 유도한다. 4. 피해자가 코드와 함께 계정 정보 및 2단계 인증(2FA) 코드를 입력하면, 서비스는 액세스 토큰과 리프레시 토큰을 생성한다. 보안 연구진은 "사용자가 피싱에 속으면 인증 과정에서 생성된 토큰이 OAuth 토큰 API 엔드포인트에 저장된다"고 설명했다. 이어 "공격자는 최초 cURL 요청으로 생성된 기기 코드를 알고 있기 때문에, 올바른 기기 코드를 입력하면 해당 토큰을 조회할 수 있다"고 밝혔다. 또한 "기기 코드 자체는 단독으로는 쓸모가 없지만, 피해자가 인증을 완료하면 해당 코드를 아는 누구나 토큰을 사용할 수 있게 된다"고 덧붙였다. 기기 코드 피싱 기법은 2025년 2월 Microsoft와 Volexity에 의해 처음 확인됐다.  이후 Amazon Threat Intelligence와 Proofpoint에서도 추가 사례가 보고됐다. Storm-2372, APT29, UTA0304, UTA0307, UNK_AcademicFlare 등 러시아 연계 그룹이 해당 공격과 관련된 것으로 분석된다. 이 기법은 매우 교묘하다.  정상 Microsoft 인프라를 그대로 활용해 기기 코드 인증 흐름을 수행하기 때문이다. 이로 인해 사용자는 공격을 의심하기 어렵다. [그림 1. 기기 코드 피싱을 위한 피싱 키트 관리자 패널 및 로그인 페이지 생성 화면] 이번 활동에서 인증 남용은 Railway.com IP 주소 소규모 클러스터에서 발생했다. 그중 세 개 IP가 전체 이벤트의 약 84%를 차지했다. - 162.220.234[.]41 - 162.220.234[.]66 - 162.220.232[.]57 - 162.220.232[.]99 - 162.220.232[.]235 공격은 피싱 이메일에서 시작된다. 이 이메일은 Cisco, Trend Micro, Mimecast 등 보안 기업의 정상 리디렉션 서비스를 악용한다. 이를 통해 스팸 필터를 우회하고, 손상된 사이트, Cloudflare Workers, Vercel 등 중간 단계로 거치는 다단계 리디렉션 체인이 실행된다. 최종적으로 피해자는 실제 공격 페이지로 이동하게 된다. 보안 연구진은 "피싱 사이트는 사용자가 특정 파일을 보기 위해 Microsoft 기기 코드 인증 페이지로 이동하도록 유도한다"고 설명했다. 또한 "사용자가 페이지에 접속하면 코드가 즉시 화면에 표시된다"고 밝혔다. 이어 "일반적으로 공격자는 코드를 생성해 피해자에게 전달해야 한다"고 설명했다. 그러나 "이번 공격에서는 자동화된 코드 생성 방식을 사용해, 피해자가 즉시 코드와 공격 시나리오를 함께 제공받는다"고 덧붙였다. 랜딩 페이지에는 "Continue to Microsoft" 버튼이 포함되어 있다. 해당 버튼을 클릭하면 실제 Microsoft 인증 페이지(microsoft[.]com/devicelogin)가 팝업으로 표시된다. 거의 모든 기기 코드 피싱 사이트는 Cloudflare workers[.]dev에서 호스팅된 것으로 확인됐다. 이는 기업 환경에서 신뢰되는 서비스를 악용하여, 웹 콘텐츠 필터를 우회한다. 이러한 위협에 대응하기 위해 사용자에게는 다음 조치가 권고된다. - 로그인 로그를 분석해 Railway IP에서의 로그인 시도를 확인해야 한다. - 영향받은 계정의 모든 리프레시 토큰을 폐기해야 한다. - 가능한 경우 Railway 인프라에서의 인증 시도를 차단해야 한다. 한 보안 기업은 이번 공격이 EvilTokens라는 새로운 피싱 서비스(PhaaS) 플랫폼과 관련된 것으로 분석했다. 이 서비스는 지난달 Telegram에서 처음 등장했다. EvilTokens는 피싱 이메일 발송 도구와 스팸 필터 우회 기능을 제공한다. 또한 취약 도메인을 활용한 오픈 리디렉션 링크를 제공해 피싱 URL을 은폐한다. 보안 연구진은 "EvilTokens는 빠르게 기능을 확장하고 있다"고 밝혔다. 이어 "연중무휴 24시간 지원팀과 피드백 채널도 운영 중이며, 고객 피드백도 받고 있다"고 설명했다. 한편 또 다른 보안 기업도 유사한 기기 코드 피싱 공격을 경고했다. 이 공격은 안티봇 및 분석 방지 기술을 사용하면서, 페이지 로드 시 브라우저 쿠키를 탈취한다. 해당 활동은 2026년 2월 18일부터 관찰됐다. 피싱 페이지는 우클릭 기능을 비활성화하고, 텍스트 선택과 드래그도 차단한다. 또한 개발자 도구 단축키(F12, Ctrl+Shift+I/C/J)와 소스 보기(Ctrl+U)를 차단한다. 추가로 브라우저 창 크기를 기반으로 개발자 도구 사용 여부를 탐지한 후, 이후 무한 디버거 루프를 실행한다고 밝혀졌다. 출처 https://thehackernews.com/2026/03/device-code-phishing-hits-340-microsoft.html  

2026년 1월부터 진행 중인 대규모 악성 광고(malvertising) 활동이 확인되었다. 해당 활동은 세금 관련 문서를 검색하는 미국 거주자들을 표적으로 삼아, ConnectWise ScreenConnect용 설치 프로그램을 배포한다.  이 프로그램은 BYOVD(Bring Your Own Vulnerable Driver) 기법을 사용하여, 취약한 드라이버를 이용해 보안 솔루션을 무력화하는 HwAudKiller라는 도구를 설치한다. 한 보안 연구진은 보고서를 통해 "이번 활동은 구글 광고를 악용해 악성 ScreenConnect(ConnectWise Control) 설치 프로그램을 배포한다"고 설명했다. 이어 "최종적으로 BYOVD EDR 킬러를 유포하여, 보안 도구를 무력화하는 커널 드라이버를 설치한다"고 밝혔다. 해당 보안 업체는 이번 활동과 관련된 악성 ScreenConnect 세션 사례를 60건 이상 확인했다. 이번 공격은 몇 가지 특징이 있다. 기존 세금 관련 공격과 달리, 상용 클로킹 서비스를 활용해 보안 스캐너의 탐지를 회피한다. 또한 기존에 보고되지 않았던 Huawei 오디오 드라이버를 악용하여, 보안 솔루션을 비활성화한다. 공격의 최종 목적은 명확하지 않지만, 일부 사례에서는 EDR 킬러 배포 이후 추가 공격을 시도한 것으로 알려졌다.  공격자는 로컬 보안 기관 하위 시스템 서비스(LSASS) 프로세스 메모리에서 자격 증명을 추출했다. 또한 NetExec 등의 도구를 사용해 네트워크 정찰과 측면 이동을 수행했다. 연구진은 이러한 행위가 랜섬웨어 공격 전 단계 또는 초기 접근 브로커(IAB) 활동과 유사하다고 분석했다. 이는 공격자가 랜섬웨어를 배포하거나 접근 권한을 직다른 범죄자에게 판매하여 수익을 창출하려는 의도로 보인다.  공격은 사용자가 구글 등의 검색 엔진에서 "W2 tax form" 또는 "W-9 Tax Forms 2026"과 같은 키워드를 입력할 때 시작된다. 사용자가 "bringetax[.]com/humu/"와 같은 가짜 사이트로 연결되는 검색 결과를 클릭하게 만들어, ScreenConnect 설치 프로그램을 설치받도록 유도한다.  랜딩 페이지는 Adspect 기반 PHP 트래픽 분배 시스템(TDS)으로 보호되어, 보안 스캐너와 광고 검수 시스템에는 정상 페이지를 보여준다. 반면 실제 사용자에게는 악성 페이로드를 전달한다. [그림 1. 방문자 정보 수집 및 클로킹 기반 전달 악성 스크립트] 이 과정은 방문자 지문(fingerprint)을 생성해 Adspect 서버로 전송하면서 이루어진다. 서버는 이를 기반으로 적절한 응답을 결정한다. 이 외에도 랜딩 페이지의 index.php에는 JustCloakIt(JCI) 기반의 추가 클로킹 계층이 포함된다. 즉, 두 개의 클로킹 기술이 동시에 사용된다. 연구진은 "JCI가 서버 측에서 먼저 필터링을 수행한다"고 설명했다. 이어 "Adspect가 클라이언트 측 JavaScript 기반 지문 분석을 수행하는 두 번째 계층으로 작동한다"고 밝혔다. 이후 해당 웹 페이지는 ScreenConnect 설치 프로그램 배포 페이지로 연결되며, 이를 통해 감염된 시스템에는 여러 개의 평가판 인스턴스가 설치된다. 또한 공격자는 보안 강화 및 지속적인 원격 접근을 위해, FleetDeck Agent와 같은 추가적인 원격 모니터링 및 관리(RMM) 도구도 함께 설치한다.  공격자는 ScreenConnect 세션을 이용해 다단계 암호화 프로그램을 설치한다. 이 프로그램은 BYOVD 기법을 사용하여 Microsoft Defender, Kaspersky, SentinelOne 관련 프로세스를 종료하는 EDR 킬러(코드명: HwAudKiller)의 전달 경로 역할을 한다. 공격에 사용된 취약한 드라이버는 "HWAuidoOs2Ec.sys"로, Huawei에서 서명된 정상 커널 드라이버다. 이 드라이버는 커널 모드에서 프로세스를 종료하여, 봉나 제품이 의존하는 사용자 모드 보호 기능을 우회한다.  또한 Huawei의 정식 서명이 되어 있어, Windows는 드라이버 서명 강제(Driver Signature Enforcemnet, DSE)에도 불구하고 이를 정상 드라이버로 인식한다. 암호화 프로그램은 2GB의 메모리를 할당한 뒤 0으로 채우고 해제하는 방식으로, 탐지를 회피하려고 시도한다.  이는 결과적으로, 안티바이러스 엔진과 에뮬레이터가 높은 리소스 할당으로 인해 제대로 작동하지 못하게 만드는 것이다.  현재 해당 공격 배후는 확인되지 않았으나, 공격자가 장악한 인프라의 노출된 공개 디렉터리에서 단서가 발견되었다. 해당 디렉터리에는 러시아어 주석이 달린 JavaScript 코드가 포함된 가짜 Chrome 업데이트 페이지가 포함돼 있었다. 이는 러시아어를 구사하는 개발자가 악성코드 배포용 소셜 엔지니어링 툴킷으 소유하고 있음을 시사한다. 보안 연구진은 "이번 공격은 상용 도구가 정교한 공격의 진입 장벽을 얼마나 낮췄는지 보여준다"고 설명했다. 이어 "공격자는 별도의 익스플로잇이나 국가 수준 기술 없이도 공격을 구성했다"고 밝혔다. 시중에서 구할 수 있는 은폐 서비스(Adspect, JustCloakIt), 무료 ScreenConnect 인스턴스, 시판 암호화 프로그램, 그리고 취약점이 있는 Huawei 서명 드라이버가 결합됐다. 이를 통해 구글 검색부터 커널 모드 EDR 무력화까지 이어지는 공격 체인이 완성됐다. 연구진은 감염된 시스템에서 공통적인 패턴도 확인했다. 여러 개의 원격 접근 도구를 빠르게 추가하는 것이다.  초기 ScreenConnect 연결 이후, 공격자는 동일한 엔드포인트에 ScreenConnect 테스트 인스턴스를 추로 배포하였다. 일부 시스템에서는 몇 시간 내 2~3개를 설치하기도 하였으며, FleetDeck과 같은 백업 RMM 도구도 함께 설치됐다고 밝혔다. 출처 https://thehackernews.com/2026/03/tax-search-ads-deliver-screenconnect.html