- CoPhish는 Copilot Studio 에이전트를 사용하여 가짜 로그인 흐름을 통해 OAuth 토큰을 피싱합니다.
- 공격자는 Microsoft 도메인을 악용하여 합법적인 것처럼 보이게 하고 중요한 사용자 데이터에 액세스합니다.
- 완화에는 앱 동의 제한, MFA 구현, OAuth 활동 모니터링이 포함됩니다.
Datadog Security Labs의 보안 연구원들은 Microsoft Copilot Studio 에이전트에서 OAuth 토큰을 훔치고 공격자가 이메일, 채팅, 캘린더 등에 있는 민감한 정보에 액세스할 수 있도록 하는 새로운 피싱 기술에 대해 경고했습니다.
이 전술은 CoPhish로 명명되었으며 Microsoft는 이것이 사회 공학적 전술임을 확인하고 이를 인정하며 수정 작업을 진행할 것이라고 밝혔습니다.
작동 방식은 다음과 같습니다. 공격자는 사용자 인터페이스에 “로그인” 또는 동의 흐름이 포함된 Copilot Studio 에이전트(“주체”라고도 함)입니다. 피해자가 버튼을 클릭하면 흐름이 Microsoft Entra/OAuth 권한을 요청합니다. 요청을 승인함으로써 피해자는 본질적으로 OAuth 토큰을 공격자에게 넘겨주고 공격자는 이를 사용하여 피해자의 메일, 채팅, 일정, 파일 및 테넌트 자동화 기능에 액세스할 수 있습니다.
제품 업데이트를 통해 해결됨
Datadog은 에이전트가 합법적인 Microsoft 도메인(copilotstudio.microsoft.com)을 사용하고 있기 때문에 이러한 전술은 특히 위험하다고 강조했습니다. 이는 에이전트 UI와 함께 피해자에게 진위 여부를 확신시키고 경계심을 낮출 수 있습니다.
마이크로소프트는 남용 가능성을 인정하고 이를 해결하기 위해 노력할 것이라고 확인했다. 대변인은 “우리는 이 보고서를 조사했으며 향후 제품 업데이트를 통해 이 문제를 해결하기 위한 조치를 취하고 있다”고 말했다.
“이 전략은 사회 공학에 의존하지만 우리는 거버넌스 및 규정 준수 관행을 강화하기 위해 최선을 다하고 있으며 조직이 남용을 방지하는 데 도움이 되는 추가 보호 조치를 평가하고 있습니다.”
이러한 방식으로 표적이 되는 것이 우려된다면 위험을 줄일 수 있는 즉각적인 완화 조치가 있습니다. 여기에는 타사 앱 동의 제한(관리자 동의 필요), 조건부 액세스 및 MFA 시행, Copilot Studio 공유 및 게시 에이전트 차단(또는 면밀히 검토), 비정상적인 앱 등록 및 부여된 OAuth 토큰 모니터링, 의심스러운 토큰 및 앱 취소가 포함됩니다.
~을 통해 컴퓨터가 울리는 중
Google 뉴스에서 TechRadar 팔로우 그리고 우리를 선호 소스로 추가하세요 귀하의 피드에서 전문가로부터 뉴스, 리뷰, 의견을 받아보세요. 팔로우 버튼을 꼭 눌러주시는 것 잊지 마세요!
그리고 물론 당신은 할 수 있습니다 TikTok에서 TechRadar 팔로우 뉴스, 리뷰, 언박싱, 동영상 등의 형태로 정기적인 업데이트를 받아보세요. 왓츠앱 매우
모든 예산에 맞는 최고의 바이러스 백신
