1. MS, LG도 LAPSUS$에 의해 해킹
Reference: https://www.boannews.com/media/view.asp?idx=105593&page=1&mkind=1&kind=1 / https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-they-were-hacked-by-lapsus-extortion-group/
최근 삼성전자와 NVIDIA, Vodafone, Ubisoft, Mercado Libre 등을 해킹한 해커그룹 LAPSUS$가 LG전자의 직원 및 서비스 계정과 협업 툴 Comfluence의 데이터를 유출하였다. MS도 직원이 공격받아 소스코드가 유출되었으며 이는 Bing, Cortana, Bing Maps 등 다양한 내부 Microsft 프로젝트 코드이다. MS는 이에 대하여 분석 내용과 대응 방안 등을 블로그에 개시하였다.
MS는 Lapsus$를 DEV-0537 로 추적하고 있으며, 이들은 기업 네트워크에 대한 초기 접근을 위해 자격증명을 얻는 것에 중점을 둔다.
자격 증명을 얻는 방법
- 비밀번호와 세션 토큰을 얻기 위해 악성코드 Redline 사용
- criminal underground 포럼에서 크리덴셜과 세션 정보 구매
- 자격 증명에 대한 접근이나 다단계 인증(예: 2-factor 인증) 승인을 위해 대상 조직의 직원에게 비용을 지불
- 이미 유출된 자격증명에 대한 공개 코드 저장소 검색
Redline 같은 악성코드는 일반적으로 피싱 이메일이나 watering hole, warez 사이트 및 유튜브 동영상을 통해 배포되었다. 이들은 액세스 권한을 얻은 후 VPN, 가상 데스크탑 인프라 또는 Okta와 같은 ID 관리 서비스를 포함한 회사의 공개 장치 및 시스템에 로그인 하게 된다.
또한 MFA를 사용하는 계정에 대해서 session replay 공격을 사용하거나, 사용자가 귀찮아서 확인을 누를 때 까지 MFA 알림을 지속적으로 트리거 한다. 또한 Lapsus$는 최소 한번의 공격에서는 SIM 스왑 공격을 통해 MFA 코드에 엑세스 하기 위해 사용자의 전화번호와 SMS 문자를 제어했다고 한다.
네트워크에 엑세스 한 이후에 AD Explorer 를 사용하여 더 높은 권한을 가진 계정을 찾아서 SharePoint, Confluence, JIRA, slack, Microsoft Teams와 같은 협업 플랫폼을 표적으로 다른 자격 증명을 훔친다. 또한 이렇게 얻은 자격증명을 통해 GitLab, Githubm Azure DevOps와 같은 소스 코드 레포에 접근하게 된다.
이렇게 수집한 주요 데이터들을 NordVPN을 통해 유출시키고, 피해 인프라에 공격을 수행한다. 이후 공격자는 피해자의 Slack 또는 Microsoft Teams 채널을 통해 사고 대응 절차등을 모니터링 하게 된다.
LAPSUS$로부터의 보호
- MFA 강화
- 정상적이고 신뢰할 수 있는 엔드포인트 필요
- VPN에 대한 최신 인증 옵션 활용
- 클라우드 보안 강화 및 모니터링
- 사회공학적 기법 공격에 대한 인식 개선
- DEV-0537에 대응하는 운영 보안 프로세스 수립
'깔짝할짝' 카테고리의 다른 글
| 2022-04-06 Wed (0) | 2022.04.06 |
|---|---|
| 2022-04-05 Tue (0) | 2022.04.05 |
| 2022-03-22 Tue (0) | 2022.03.22 |
| 2022-03-21 Mon (0) | 2022.03.21 |
| 202-03-18 Fri (0) | 2022.03.18 |