BPO 공급망과 Okta 피싱을 이용한 UNC6783의 고도화된 침투 전략

Context

BPO(Business Process Outsourcers) 및 콜센터를 통한 공급망 공격 급증. 신뢰 관계에 있는 외부 파트너사의 계정 탈취를 통한 기업 내부망 진입 시도. 사회 공학적 기법을 결합한 정교한 Phishing 공격 전개.

Technical Solution

• BPO 직원의 합법적 Credential을 탈취하여 고객사 IT 환경으로 수평 이동하는 침투 경로 설계
• 실시간 채팅을 통한 사회 공학적 기법으로 spoofed Okta 로그인 페이지 유도
• [.]zendesk-support[.]com 형태의 도메인 패턴을 활용한 조직 사칭 전략
• 클립보드 내용을 가로채는 Phishing Kit를 통해 Multi-Factor Authentication(MFA) 무력화
• 공격자 소유 기기를 MFA 대상으로 등록하여 환경 내 지속적 접근 권한 확보
• 가짜 보안 소프트웨어 업데이트를 배포하여 Remote Access Malware 설치 유도

Impact

• Adobe 지원 티켓 1,300만 건 및 직원 기록 15,000건 유출

Key Takeaway

강력한 MFA 도입만으로는 클립보드 탈취 및 세션 하이재킹 기반의 공격을 완전히 방어하기 어려우므로, 제로 트러스트 기반의 기기 인증 및 공급망 접근 제어 체계 구축이 필수적임.