Mandiant는 최근 ShinyHunters가 주도하는 SaaS 데이터 탈취 공격이 음성 피싱(vishing)과 기업 포털을 모방한 피싱 사이트를 통해 SSO(싱글 사인온) 자격 증명과 MFA(다중 인증) 코드를 탈취하는 방식으로 이루어지고 있다고 밝혔습니다. 공격자는 IT 또는 헬프데스크 직원으로 가장해 직원에게 직접 전화를 걸어 MFA 설정 변경을 유도하고, 실제 기업 로그인 포털과 유사한 피싱 사이트로 유도합니다. 이 과정에서 공격자는 실시간으로 탈취한 자격 증명과 MFA 코드를 이용해 계정에 접근하고, 자신의 기기를 MFA에 등록하여 지속적인 접근 권한을 확보합니다.
공격자가 계정에 접근하면 Okta, Microsoft Entra, Google SSO 대시보드 등에서 사용자가 접근 가능한 모든 SaaS 애플리케이션 목록을 확인할 수 있습니다. Salesforce, Microsoft 365, SharePoint, DocuSign, Slack, Atlassian, Dropbox, Google Drive 등 다양한 내부 및 외부 플랫폼이 주요 표적이 됩니다. ShinyHunters는 이러한 공격을 통해 기업의 클라우드 데이터를 광범위하게 탈취하고, 이후 데이터 유출 사이트를 통해 데이터를 공개하거나 금전적 협박을 시도합니다. Mandiant는 이 공격을 UNC6661, UNC6671, UNC6240(ShinyHunters) 등 여러 위협 그룹이 수행하고 있다고 분석했습니다.
Mandiant는 공격자들이 PowerShell 스크립트, Google Workspace 애드온(ToogleBox Recall) 등 다양한 도구를 활용해 데이터를 대량으로 다운로드하고, MFA 변경 알림 이메일을 삭제해 흔적을 은폐한다고 밝혔습니다. 피싱 도메인은 기업 포털을 모방한 형태로 등록되며, 공격자는 상업용 VPN 및 프록시 네트워크를 통해 추적을 회피합니다. 이에 대응해 Mandiant는 SSO 계정 탈취 후 데이터 유출, 비정상적인 OAuth 권한 부여, MFA 알림 삭제 등 이상 행위 탐지와 인증 절차 강화, 로깅 및 탐지 규칙 적용을 권고했습니다.
요약
- ShinyHunters 등 위협 그룹이 vishing과 피싱 사이트로 SSO 및 MFA 정보를 탈취하고 있다.
- 공격자는 실시간으로 자격 증명과 MFA 코드를 이용해 계정에 접근, 자신의 기기를 MFA에 등록한다.
- Salesforce, Microsoft 365 등 다양한 SaaS 플랫폼의 데이터가 대량으로 유출되고 있다.
- 공격자는 PowerShell, Google Workspace 애드온 등 다양한 도구로 흔적을 은폐한다.
- Mandiant는 인증 강화, 이상 행위 탐지, 로깅 등 방어책을 제시했다.
Reference
※ 이 글은 생성형 AI(gpt4.1)에 의해 요약되었습니다.