OAuth Token 탈취 및 MFA 우회 기반의 Kali365 공격 분석

Context

전통적인 MFA 기반 인증 체계가 OAuth Token 탈취 및 Session Hijacking 공격으로 인해 무력화되는 보안 취약점 발생. 특히 Device Code Flow와 Adversary-in-the-Middle(AitM) 기법을 통해 인증 단계를 완전히 우회하는 정교한 피싱 플랫폼의 등장으로 계정 탈취 위험 증가.

Technical Solution

• Device Code Flow 악용을 통한 공격자 디바이스의 M365 계정 강제 등록 구조 설계
• AitM 프록시 인프라 구축을 통한 실시간 브라우저 트래픽 중계 및 Session Cookie 가로채기 메커니즘 구현
• 가로챈 Session 정보를 자체 패널에 저장 후 Replay 스크립트로 세션을 복제하는 세션 하이재킹 로직 적용
• AI 기반 피싱 루어 생성 및 다국어 지원을 통한 공격 대상 확장 및 자동화 캠페인 템플릿 제공
• Client, Agent, Admin의 3단계 계층 구조 설계를 통한 Phishing-as-a-Service(PaaS) 비즈니스 모델 구축

Impact

• 일일 수백 건의 계정 침해(Compromises) 발생 및 다수 조직 대상의 대규모 공격 확산
• 월 $250 및 연 $2,000의 구독형 가격 모델을 통한 공격 진입 장벽의 획기적 제거

Key Takeaway

신뢰 기반의 인증 토큰이나 세션 쿠키는 MFA 완료 후에도 탈취 가능하므로, 단순 인증 완료 여부가 아닌 Conditional Access 기반의 지속적인 컨텍스트 검증 설계가 필수적임.