Scattered Spider 갱단이 소프트웨어-서비스(SaaS) 애플리케이션에서 데이터를 도용하고 새로운 가상 머신을 생성하여 지속성을 확보하기 시작했습니다. 이 갱단은 SMS 피싱, SIM 스와핑, 계정 해킹을 이용한 사회 공학 공격에 종사하는 것으로 알려져 있습니다. Scattered Spider는 같은 텔레그램 채널, 해킹 포럼, 디스코드 서버를 자주 이용하는 사이버 범죄자 커뮤니티를 지칭하는 이름입니다.
Scattered Spider는 종종 기업의 도움말 데스크 담당자를 대상으로 사회 공학 기법을 사용하여 특권 계정에 초기 접근을 시도합니다. 이 위협 행위자는 개인 정보, 직위, 관리자 이름 등을 잘 준비하여 인증 과정을 우회합니다. 피해자의 환경에 접근한 후 Scattered Spider는 피해 회사의 클라우드와 SaaS 애플리케이션에 접근하기 위해 손상된 계정과 관련된 Okta 권한을 사용하는 것으로 관찰되었습니다.
지속성을 위해 Scattered Spider는 vSphere와 Azure에서 새로운 가상 머신을 생성하고, 이들 VM을 관리자 권한으로 구성하여 보안 보호를 비활성화합니다. 그 다음, Microsoft Defender와 Windows의 다른 원격 분석 기능을 비활성화하여 Mimikatz와 IMPACKET 프레임워크와 같은 수평 이동 도구를 배포하고, VPN이나 MFA 인증 없이 접근을 허용하는 터널링 유틸리티(NGROK, RSOCX, Localtonet)를 사용합니다.
요약
- Scattered Spider 갱단이 SaaS 애플리케이션에서 데이터를 도용하고 새로운 가상 머신을 생성하여 지속성을 확보하기 시작했다.
- 이 갱단은 사회 공학 공격을 통해 기업의 도움말 데스크 담당자를 대상으로 특권 계정에 초기 접근을 시도한다.
- 피해자의 환경에 접근한 후, Scattered Spider는 피해 회사의 클라우드와 SaaS 애플리케이션에 접근하기 위해 손상된 계정과 관련된 Okta 권한을 사용한다.
- 지속성을 위해, Scattered Spider는 vSphere와 Azure에서 새로운 가상 머신을 생성하고, 이들 VM을 관리자 권한으로 구성하여 보안 보호를 비활성화한다.
- 그 다음, Microsoft Defender와 Windows의 다른 텔레메트리 기능을 비활성화하여 Mimikatz와 IMPACKET 프레임워크와 같은 수평 이동 도구를 배포하고, VPN이나 MFA 인증 없이 접근을 허용하는 터널링 유틸리티를 사용한다.
Reference
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.