우버 유출 2022: 조직 전체 시스템을 장악하는 파괴적 사이버 공격 탐지

9월 15일, 우버는 조직 전체에 사이버 보안 침해를 초래한 공격을 공식적으로 확인했습니다. 보안 조사에 따르면, 조직의 시스템은 심각하게 해킹되었으며, 공격자들은 조직의 핵심 인프라에 접근하기 위해 측면 이동을 했습니다. 사이버 보안 사건은 우버의 시스템을 해킹했다고 주장하는 젊은 해커가 이메일 대시보드와 슬랙 서버를 포함한 조직의 중요 자산의 취약점 보고서와 스크린샷을 공유한 후 주목을 받게 되었습니다. 이 민감한 정보는 버그 바운티 플랫폼 HackerOne에 공개되었습니다.

HackerOne의 취약점 보고서는 적이 시스템의 내부 네트워크를 침입하여 Amazon Web Services 콘솔, VMware vSphere/ESXi 가상 머신, Google Workspace 관리 대시보드에 영향을 미쳤다고 확인합니다.

우버 침해 2022 관련 악성 활동 감지

Sigma 규칙 SOC Prime 개발자들에 의해 개발된 규칙은 보안 전문가들이 MFA 관련 실패와 관련된 공격을 견뎌낼 수 있도록 돕습니다.

Okta 가능한 MFA/2FA 플러딩/스팸/피싱 (via user_auth)

Azure 가능한 MFA/2FA 플러딩/스패밍/피싱 (via azuread)

위의 탐지 콘텐츠 조각들은 MITRE ATT&CK® 프레임워크와 일치합니다. 보안 전문가는 여러 SIEM, EDR, 및 XDR 포맷 간에 쉽게 전환하여 26개의 보안 솔루션에 적용 가능한 규칙 소스 코드를 받을 수 있습니다.

SOC Prime의 Detection as Code 플랫폼은 이번 최신 우버 침해와 관련된 악의적인 행위를 식별하기 위한 Sigma 규칙 세트를 큐레이션합니다. 버튼을 클릭하여 탐지 탐색 아래에서 전용 탐지에 즉시 도달하고 사이버 위협 검색 엔진에서 등록 없이 관련 사이버 위협 컨텍스트에 잠수하십시오.

탐지 탐색  

우버 침해 2022 분석

우버 시스템 침해에 관한 뉴스 보도에 따르면, 공격자는 회사의 직원 중 한 명을 조종하여 비밀번호를 공유하게 하였고, 이로 인해 초기 접속이 가능해졌습니다. 범죄 해커는 이후 MFA 피로 공격을 시작하고 다른 직원들에게 데이터 침해가 발생했음을 공지하기 위해 근로자의 슬랙 계정을 탈취했습니다. 이에 대응하여 우버는 내부 커뮤니케이션을 위한 슬랙의 접근을 제한했습니다. 다른 침해된 서비스 중에는 Google Cloud Platform, OneLogin, SentinelOne 사건 대응 포털, AWS가 있습니다.

여러 보안 연구자들은 이미 이 침해를 “전면적인 보안 손상”이라고 주장했으며, 공격자가 회사의 소스 코드를 온라인에 게시할 가능성을 제기했습니다. 반면, 기술 대기업의 대표들은 미디어 채널에 퍼진 “불을 진화하는 것”을 시도하고 있습니다. 샌프란시스코에 본사를 둔 이 승차 공유 회사의 입장은 비 우버 보안 분석가들이 제기한 설명과는 달리 위협 행위자가 민감한 데이터에 접근했다는 증거가 없다고 주장합니다.

사건 이전에, 정보 절취자로부터 수집된 로그는 정보 절취자 가 암시장에 판매되었습니다. 이번 공격에 사용된 정보 절취자로는 우버 직원들을 대상으로 한 것이 있으며 Raccoon and Vidar가 있습니다. 증거는 공격자가 획득한 데이터를 사용하여 우버의 네트워크 내에서 측면 이동을 했다는 점을 시사합니다.

위협 행위자의 의도는 아직 밝혀지지 않았지만, 우버의 슬랙 채널에 공유된 메시지에는 운전기사의 더 나은 임금을 요구하는 내용이 포함되어 있습니다. 우버 대표는 사건이 현재 조사 중이라고 주장하며 더 이상의 업데이트를 공개적으로 발표하지 않았습니다.

사회 공학 기법이 증가하고 있습니다. 이번 공격은 범죄 해커들이 인간 요인을 활용하는 더 정교한 접근 방식을 축적하는 최근 경향을 반영합니다. 극단적인 상황은 극단적인 조치를 요구합니다! SOC Prime과 협력하여 글로벌 사이버 보안 전문가 커뮤니티의 힘으로 위협 탐지 능력과 보안 태세를 강화하십시오. 또한, 협업 전문성을 풍부하게 하기 위해 SOC Prime의 크라우드소싱 이니셔티브에 기여하여 Sigma 및 YARA 규칙을 개발하고 제출하여 플랫폼에 게시되고 기여에 대한 반복 보상을 받을 수 있습니다.