[트렌드] Lapsus$

요즘 랩서스가 매우 핫하다.

NVIDIA, 삼성전자, LG, MS 등 글로벌 대기업을 비롯한 다수 기업에 공격을 수행하고 있다.

빼낸 정보를 텔레그램에서 배포 중..

 

항상 '사람이 가장 취약한 연결고리'라는 말이 생각난다.

기업에서 사용하는 협업툴 (깃랩, 컨플루언스 등)의 취약점은 기업 입장에서 특히 더 조심해야할 것 같다.

 

공급망 보안, 소셜 엔지니어링 보안

 

최근 특이사항

* 3/30까지 활동 중단 안내

* 가상자산거래소 타깃

* 17~21세 사이의 해커들이 체포되었다 (천재? 스트립트 키디?)

* 이제는 텔레그램이 아닌, 다른 애플리케이션(?) 소통 창구로 이야기한다고 한다

 

해커그룹 특징

* 적극적인 소셜엔지니어링 사용 (텔레그램)

* 랜섬웨어를 사용하지 않음

* 정보 유출하여 협박

* MS는 DEV-0537 라 부른다

 

 

공격 받은 기업 / 유출 내용

* MS / Bing, 코타나 src 

* 엔비디아 / GPU 회로 및 기밀 데이터 1TB

* 삼성전자 / 갤럭시 src 190GB, 생체인식 잠금 해제 시스템 등

* LG전자 / 임직원 email 계정 및 pw (해시) 9만건

* 옥타 (인증기업) / 

* 유비소프트 / 게임

* 보다폰 / 

주로 it 기업을 공격했다. 지금은 지역, 분야를 가리지 않고 공격하는 듯

 

 

공격 방식

* 계정 탈취 -> 시스템 접근 권한 확보 -> 내부 정찰 -> 높은 권한 계정 확보 -> 데이터 유출 및 금전 갈취

* 소셜 엔지니어링 => 여기에 신경을 많이 쓴다고 함

ㄴ 직원, 헬프 데스크, 공급망, 비즈니스 파트너 등

(돈 준다고 크리덴셜을 그냥 넘기는 비즈니스 파트너도 참;)

 

* SIM스와핑

* 이메일 해킹

 

 

 

활동

영국 / 남미 -> 글로벌

 

 

궁금한 점

* 악성코드 '레드라인 스틸러'

* SIM 스와핑 기법 -> 전화 기반 MFA 영향을 준다고?

* 애저 AD impossible travel

* FIDO 토큰

* MS 어센틱케이터

* MFA (Multi Factor Authentication) : 다단계 인증

 

 

최근

+ (03/29) : https://www.boannews.com/media/view.asp?idx=105764  

보안 사고가 발생했을 때, 기업은 어떤 입장을 취하는 것이 좋을까?

1) 사고 사실을 부인하거나 피해 규모를 축소하여 고객을 안정시키는 데 집중

2) 침해사고 및 피해를 인정 이후, 철저한 조치를 수행

 

매도 빨리 맞는 편이 나을 것 같다는 것이 내 생각이다.

 

+ (03.31) : https://www.boannews.com/media/view.asp?idx=105785

인포섹 Top-CERT팀이 랩서스 대응 방안을 공개했다!

임직원 계정을 다크웹에서 구매하여 사용!

=> 어떤 계정도 함부로 믿을 수 없는 제로 트러스트에 집중함

(철저한 인증/신원확인 -> 네트워크 정보 접근 범위 제한)

 

[방어 방법]

기존에 있는거 : 이메일 악성코드 탐지/차단, 지능형 지속위협 공격(APT : Advanced Persistent Threat) 탐지/차단

2 factor 인증, DRM 비롯한 정보유출 탐지, 해킹 사고 정보 공유 체계

새로운 거 : 다크웹 모니터링

그 밖의 정책 : 최신 보안 패치, 원격 접근 차단

 

 

잘 모르는 거

다크웹 모니터링?

 

 

참고 기사

https://zdnet.co.kr/view/?no=20220324153649

https://www.ajunews.com/view/202203251114411

https://www.hankyung.com/it/article/2022032844861

http://www.digitaltoday.co.kr/news/articleView.html?idxno=438373

https://www.boannews.com/media/view.asp?idx=105689

https://www.boannews.com/media/view.asp?idx=105662​