기술 설명
FBI의 인터넷 범죄 신고 센터(IC3)는 2026년 5월 21일 PSA260521을 발표하여 2026년 4월에 처음 탐지된 신흥 피싱-서비스 플랫폼인 Kali365에 대해 경고했습니다. Kali365는 AI 생성 피싱 유인물, 자동화된 캠페인 템플릿, 실시간 피해자 추적 대시보드를 사용하여 낮은 수준의 공격자들이 정당한 OAuth 2.0 Device Authorization(디바이스 코드) 플로우를 악용하여 Microsoft 365 OAuth 액세스 및 새로 고침 토큰을 탈취할 수 있도록 합니다. 피해자들은 Microsoft의 정당한 검증 페이지에서 공격자가 생성한 디바이스 코드를 입력하도록 속으며, 무의식적으로 공격자의 디바이스가 MFA를 완전히 우회하는 지속적인 토큰을 수신하도록 승인합니다. 토큰은 Outlook, Teams, OneDrive 및 SSO에 연결된 모든 SaaS 플랫폼에 대한 액세스를 제공합니다.
공격 경로
공격자는 Microsoft의 OAuth Device Authorization Grant 플로우를 통해 디바이스 코드를 생성하고, 코드와 microsoft.com/devicelogin 방문 지시사항이 포함된 클라우드 생산성 서비스를 사칭하는 피싱 이메일을 보냅니다. 피해자는 실제 Microsoft 페이지에서 인증을 완료하고(MFA를 만족하며), 공격자는 결과 OAuth 액세스 + 새로 고침 토큰을 캡처하고 자신의 인프라에서 이를 사용합니다. 비밀번호 가로채기나 MFA 우회 기법이 필요하지 않습니다 — 정당한 플로우 자체가 공격입니다.
영향받는 시스템
Microsoft 365 / Microsoft Entra를 사용하고 디바이스 코드 인증이 활성화된 모든 조직; 특히 MFA를 자격 증명 탈취에 대한 유일한 보호로 의존하는 조직의 위험이 높습니다. 보조 공격 모드('Cookie Link')는 AitM 프록시를 사용하여 세션 쿠키를 캡처합니다.
완화 방안
1) Microsoft Entra의 조건부 액세스 정책을 통해 디바이스 코드 인증 플로우를 제한하거나 차단; 2) 기존 디바이스 코드 사용 및 등록 로그 감사; 3) 인증 전송 정책 차단; 4) FIDO2/패스키를 기본 인수로 피싱 방지 MFA 배포; 5) 비정상적인 OAuth 토큰 발급 및 새 디바이스 등록에 대한 경고; 6) 사용자에게 디바이스 코드 피싱 유인물 인식 교육(제목: 'SharePoint – Document Shared', 'OneDrive – File Shared', 'DocuSign – Signature Required'). 사건을 ic3.gov에 보고합니다.