프랑스 보안 기업 Lexfo는 공격자가 실수로 공개 포트에 디렉터리 리스팅을 활성화한 Python 웹 서버를 발견했으며, 이를 통해 세 개의 Evilginx 기반 MS 365 피싱 캠페인의 전체 도구와 로그를 확보했다. 공개된 세 캠페인 중 하나는 12개국에서 218개의 계정을 탈취했으며, 그중 94%가 기업 메일함이었다.

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What are the details of the recent Microsoft 365 phishing campaigns exposed by a misconfigured se. Article summary: On **July 13, 2026**, researchers at the French security firm **Lexfo** uncovered three live Evilginx-based phishing operations targeting Microsoft 365 after an attacker left a Python web server exposed on a public port . Topic tags: general, government, education, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, wat
2026년 7월, 두 건의 병렬적인 발견을 통해 다중 요소 인증(MFA)을 우회하는 정교한 Microsoft 365 피싱 공격이 급증하고 있음이 드러났습니다. 이 공격들은 근본적으로 다른 두 가지 방식을 사용합니다: 중간자 공격(AiTM) 프록시 공격과 기기 코드 인증 남용입니다. 첫 번째 발견은 단 한 명의 공격자 실수—설정이 잘못된 Python 웹 서버—에서 비롯되어 세 개의 진행 중인 캠페인이 노출되었습니다. 두 번째 발견은 연구원들이 'Forg365'라는 새로운 상용 피싱 플랫폼을 추적하면서 이루어졌습니다. 각 공격의 작동 방식을 이해하는 것이 올바른 방어를 구축하는 첫걸음이며, 한 가지 공격에 대한 해결책이 다른 공격을 막아주지는 않기 때문입니다.
2026년 7월 13일, 프랑스 보안 기업 Lexfo의 연구원들은 공격자가 공개 포트에 디렉터리 리스팅을 활성화한 Python 웹 서버를 방치한 후, 세 개의 활성 Evilginx 기반 피싱 작전을 발견했습니다. 서버의 .bash_history 파일에는 python3 -m http.server 8080.
세 작전 모두 Evilginx 기반 AiTM 피싱 캠페인으로, 사용자가 MFA를 완료한 후 세션 토큰을 탈취하기 위해 Microsoft 365 로그인 페이지를 프록시했습니다 . 이 중 한 캠페인은 12개국에서 218개의 계정을 기록했으며, 이 중 94%는 기업 메일함이었습니다
. 이 작전들은 두 가지 뚜렷한 공격 경로를 사용했습니다: Evilginx 세션 토큰 탈취(AiTM 프록시 방식)와 기기 코드 피싱—한 키트는 피해자를 실제 Microsoft 기기 로그인 페이지로 보내 피해자가 스스로 액세스를 승인하도록 했고, 공격자의 백엔드가 토큰을 폴링했습니다
.
이와 별도로, Forg365 피싱 서비스(PhaaS) 플랫폼이 ZeroBEC 연구원들에 의해 식별되었습니다(2026년 7월 9일~13일 보고). 이는 텔레그램을 통해 유통되는 상업용 키트로, 월 400달러(연 3,800달러) 에 판매됩니다. 노출된 서버에서 발견된 맞춤형 Evilginx 포크와 달리, Forg365는 여러 공격 방법과 도구를 하나의 운영자 대시보드에 통합했습니다 .
Forg365는 세 가지 핵심 기능을 결합합니다:
이 플랫폼은 또한 안티봇 회피(샌드박스 및 보안 크롤러 탐지), 침해 후 메일함 접근(운영자는 패널 내에서 이메일을 검색 및 유출 가능), SMTP 로테이션, 캠페인 스케줄링 기능을 포함합니다 .
이 두 가지 발견은 AiTM 프록시 공격과 기기 코드 남용 간의 중요한 차이점을 보여줍니다. 이 차이를 이해하는 것은 동일한 방어 수단이 두 공격 모두에 효과적이지 않기 때문에 필수적입니다:
AiTM 프록시 공격(Evilginx 스타일): 공격자는 실제 Microsoft 로그인 페이지로 트래픽을 프록시하는 가짜 로그인 페이지를 설정합니다. 사용자는 공격자의 프록시에 비밀번호를 입력하고 MFA를 완료합니다. 성공적인 인증 후, Microsoft는 합법적인 사용자의 브라우저라고 믿는 곳에 세션 쿠키를 발급합니다. 하지만 그 쿠키는 실제로는 사용자의 브라우저가 아닌 공격자의 프록시에 도달합니다. 공격자는 이 쿠키를 재사용하여 피해자의 Microsoft 365 계정에 접근할 수 있습니다 .
기기 코드 피싱: 공격자는 합법적인 Microsoft 기기 코드(스마트 TV와 같이 키보드가 없는 기기에서 로그인하는 데 사용되는 짧은 코드)를 생성하여 피싱 이메일로 피해자에게 전송합니다. 피해자는 실제 Microsoft 로그인 페이지에 접속하여 코드를 입력하고 MFA를 완료한 후, 공격자의 애플리케이션을 승인합니다. '우회'되는 것은 없습니다. 피해자가 직접 접근을 승인한 것입니다. 그러면 공격자의 백엔드가 Microsoft에 토큰을 요청합니다 .
AiTM 프록시 공격에 대한 가장 효과적인 단일 방어책은 피싱 저항형 MFA, 특히 FIDO2/WebAuthn과 패스키(Passkeys)입니다. 이러한 인증 방식은 자격 증명을 합법적인 도메인 이름에 바인딩합니다. 따라서 사용자의 브라우저가 공격자의 프록시 사이트(도메인이 다른)에 연결하면, 인증 프로토콜이 도메인 불일치를 감지하고 자격 증명 교환을 자동으로 차단합니다 .
기타 방어책은 다음과 같습니다:
기기 코드 피싱은 공격자가 사용자를 가짜 페이지에 속여 자격 증명을 입력하도록 할 필요가 없습니다. 사용자는 실제 Microsoft 로그인 페이지와 상호 작용합니다. 즉, FIDO2/패스키만으로는 이 공격을 완전히 막을 수 없습니다. 합법적인 OAuth 흐름이 사용되고 있기 때문입니다 .
일차적 방어책은 Microsoft Entra ID 조건부 액세스를 사용하여 필요하지 않은 사용자에 대해 기기 코드 OAuth 권한 부여를 차단하는 것입니다:
추가 방어책:
2026년 5월 FBI의 Kali365 PhaaS 플랫폼에 관한 공공 서비스 발표(PSA)는 일차적 방어책으로 기기 코드 흐름 차단을 구체적으로 권장했습니다 . Forg365와 같은 피싱 플랫폼이 이러한 공격 기술을 계속 상품화함에 따라, 방어자에게는 운영상의 긴박성이 명확해집니다: 모든 권한 있는 계정에 FIDO2/패스키를 배포하여 AiTM 프록시 공격을 막고, 조건부 액세스를 사용하여 필요하지 않은 사용자에 대해 기기 코드 권한 부여를 비활성화하십시오. 하나의 공개 디렉토리가 세 개의 캠페인을 노출시켰을지 모르지만, 그 교훈은 모든 Microsoft 365 테넌트에 적용됩니다.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
프랑스 보안 기업 Lexfo는 공격자가 실수로 공개 포트에 디렉터리 리스팅을 활성화한 Python 웹 서버를 발견했으며, 이를 통해 세 개의 Evilginx 기반 MS 365 피싱 캠페인의 전체 도구와 로그를 확보했다.
프랑스 보안 기업 Lexfo는 공격자가 실수로 공개 포트에 디렉터리 리스팅을 활성화한 Python 웹 서버를 발견했으며, 이를 통해 세 개의 Evilginx 기반 MS 365 피싱 캠페인의 전체 도구와 로그를 확보했다. 공개된 세 캠페인 중 하나는 12개국에서 218개의 계정을 탈취했으며, 그중 94%가 기업 메일함이었다.
새로운 PhaaS 플랫폼 Forg365는 AiTM 프록시, 기기 코드 피싱, AI 기반 미끼 생성 기능을 하나의 대시보드에 통합해 텔레그램을 통해 월 400달러(연 3800달러)에 판매되고 있다.