LAPSUS$ 디지털 갈취 범죄 그룹, 마이크로소프트 데이터 유출 주장: Okta 고객들에게 영향 미쳐

[post-views]
3월 23, 2022 · 3 분 읽기
LAPSUS$ 디지털 갈취 범죄 그룹, 마이크로소프트 데이터 유출 주장: Okta 고객들에게 영향 미쳐

2022년 3월 21일, LAPSUS$ 갱단 자신들의 텔레그램 채널에 마이크로소프트 Bing 및 Cortana 비주얼 어시스턴트 소스 코드라고 부르는 스크린샷 시리즈를 게시했습니다. 40Gb의 유출된 데이터 외에도, 디지털 신원 확인을 개인 및 조직에 제공하는 플랫폼인 Okta의 손상된 관리자 계정도 공개했습니다.

마지막 것은 특히 경고할 만한데, Okta의 제품에는 신원 관리 도구가 포함되어 있으며, 수천 개의 대규모 조직에서 사용됩니다. 대표적인 이름으로는 Nvidia, Cloudflare, Samsung, 그리고 미국 법무부가 포함됩니다. LAPSUS$ 그룹은 2022년 1월부터 Okta의 내부 도구, 예를 들어 Slack, Jira, Splunk, AWS에 접근할 수 있었다고 주장했습니다. Okta 는 한 엔지니어의 노트북에 대한 접근을 확인했지만 서비스 자체의 타협은 부인했습니다. 또한 Okta의 고객 중 약 2.5%가 영향을 받을 수 있다고 언급했습니다. 미디어 매체들은 이미 이 사건을 ‘솔라윈즈 2.0’이라고 불렀으며, 이 침해의 결과는 기하급수적으로 더 극단적입니다.

Okta: LAPSUS$ 침입 감지

OKTA 플랫폼에서 계정 가장의 의심스러운 행동을 감지하려면, 유명한 위협 보상 개발자인 Emir Erdogan:

이 만든 다음 Sigma 규칙을 배포할 수 있습니다. (가능한 LAPSUS 행동)

이 감지는 다음과 같은 SIEM, EDR, XDR 플랫폼에 대한 번역이 있습니다: Microsoft Sentinel, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, Qualys.

이 규칙은 MITRE ATT&CK® 프레임워크 v.10과 일치하며, 방어 회피 및 권한 상승과 같은 전술에 속하는 접근 토큰 조작 기술(T1134)을 다룹니다.

새롭게 떠오르는 사이버 위협을 앞서가기 위해, SOC Prime 플랫폼의 위협 탐지 마켓플레이스 저장소에서 사용 가능한 큐레이팅된 Sigma 규칙 컬렉션을 탐색해보십시오. 만약 경험이 풍부한 연구원이나 위협 사냥꾼이라면, 우리의 위협 보상 프로그램에 참여하고 자신의 탐지 콘텐츠를 제출함으로써 글로벌 안전에 기여할 수 있습니다.

탐지 보기 위협 보상 참여

LAPSUS$ 랜섬웨어: 가장 최근의 연구

Microsoft 위협 정보 센터 (MSTIC)에서는 상세한 조사를 on LAPSUS$ 갱단 활동, 그들은 DEV-0537이라고도 부릅니다. Microsoft에 따르면 LAPSUS$ 데이터 납치범들은 초기에 접근할 목표로 글로벌 조직에서 일하는 특정 개인의 계정을 대상으로 하는 갈취와 파괴를 전문으로 합니다. 

일반적인 킬 체인은 LAPSUS$ 그룹 에서 다음과 같이 보입니다:

  • 초기 접근: 사회 공학, Redline stealer, 다크 마켓에서 구매한 자격증명, 내부자 매수, 공공 저장소에서 노출된 자격증명, SIM 교환 공격 실행.
  • 자격 증명 접근: 다중 인증(MFA) 요구를 충족시키기 위해 인터넷에 연결된 시스템 및 응용 프로그램(예: Okta)에 접근.
  • 권한 상승: 조사를 위해 Jira, Slack, Gitlab, Confluence 계정을 통한 가시성 확보.
  • 탈취, 파괴 및 영향: NordVPN 출구 포인트를 사용하여 민감한 데이터를 다운로드한 다음, 갈취하거나 공개 소스에 업로드.

많은 다른 갈취 갱단과 달리, 데이터 갈취 그룹 LAPSUS$ 는 공개적으로 행동합니다. 그들은 심지어 소셜 미디어에서 의도를 발표하고 그들의 텔레그램 채널에서 내부자를 ‘고용’하기까지 합니다. 또 다른 드문 전술은 데이터를 유출한 후 피해자의 내부 프로세스를 이해하기 위해 사건 대응 팀의 커뮤니케이션에 참여하는 것입니다.

탐색 SOC Prime의 코드로서의 탐지 플랫폼 에서 20개 이상의 벤더 특화된 SIEM, EDR, XDR 형식으로 번역된 최고 품질의 SIGMA 규칙에 접근하세요. 정확하고 즉각적인 탐지는 귀하의 엔지니어들이 더 발전된 작업에 착수할 수 있도록 효율적인 SOC 24/7/365를 조직하는 열쇠입니다.

목차

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.
무료 가입하기 미팅 예약하기

관련 게시물

API를 통한 Uncoder AI 기능 접근 1 분 읽기 SOC Prime 플랫폼 API를 통한 Uncoder AI 기능 접근 by Steven Edwards Uncoder AI에서 위협 탐지 마켓플레이스 검색하기 2 분 읽기 SOC Prime 플랫폼 Uncoder AI에서 위협 탐지 마켓플레이스 검색하기 by Steven Edwards Sigma에서 48개 언어로 번역하기 2 분 읽기 SOC Prime 플랫폼 Sigma에서 48개 언어로 번역하기 by Steven Edwards
모든 뉴스