Microsoft 스캐터드 스파이더 경고: 랜섬웨어 경고
끊임없이 진화하는 사이버 범죄의 세계에서 강력한 적이 등장하고 있는데, 바로 영어를 모국어로 사용하는 해커 그룹인 옥토 템페스트(Octo Tempest)로, 이들은 SIM 스와핑과 암호화폐 사기에서 더 사악한 사이버 갈취로 전환한 해커 집단입니다. 이들의 급격한 상승세는 Microsoft를 비롯한 사이버 보안 전문가들의 관심을 끌었고, 이들은 이들의 활동을 면밀히 모니터링하고 있습니다. 이 블로그에서는 스캐터드 스파이더의 출현에 대해 자세히 살펴봅니다. Microsoft 스캐터드 스파이더 경고 의 출현과 옥토 템페스트의 진화, ALPHV/블랙캣 랜섬웨어 작전과의 파트너십, 정교한 전술, 공격 대상이 되는 산업에 대해 알아보세요.
옥토 템페스트의 기원
약 18개월 전, 옥토 템페스트는 사이버 지하세계에 처음 모습을 드러냈습니다. 처음에는 SIM 스와핑과 암호화폐 탈취를 중심으로 암호화폐 하이재킹 계정에 집중했습니다. 2023년 초에는 공격 범위를 넓혀 유명 기술 기업을 포함한 대규모 조직을 노리기 시작했습니다. 이들의 수법은 데이터를 훔쳐 몸값을 요구하는 간단하지만 파괴적인 방식이었습니다.
Microsoft 분산 스파이더 경고: 위험한 제휴
전환점은 2023년 중반 옥토 템페스트가 악명 높은 서비스형 랜섬웨어 조직인 ALPHV/BlackCat과 부정한 동맹을 맺은 때였습니다. 이 파트너십을 통해 랜섬웨어 제작진이 관리하는 다크 웹 유출 사이트를 이용할 수 있었습니다. 에 따르면 Microsoft 스캐터드 스파이더 경보에 따르면 이 협력은 Octo Tempest의 역사에서 중요한 전환점이 되었습니다.
광범위한 대상
옥토 템페스트는 단순히 기술 기업만을 타깃으로 삼는 데 그치지 않았습니다. 천연 자원, 게임, 숙박업, 소비재, 소매업, 관리형 서비스 제공업체, 제조, 법률, 기술, 금융 서비스 등 다양한 산업으로 공격 범위를 점차 확장해 나갔습니다. 그 범위는 끝이 없습니다.
불확실한 연결
Microsoft의 스파이더 경고 의 스파이더 경고에 따르면 옥토 템페스트가 UNC3944 (Scattered Spider 또는 0ktapus라고도 함) 집단과 관련이 있을 수 있다고 합니다. ALPHV/BlackCat과의 관계를 고려할 때, 2023년 9월 라스베이거스 카지노 강도 사건과 ID 및 액세스 관리(IAM) 전문업체 Okta에 대한 기타 공격에 관여했을 가능성이 있다고 의심하는 것은 합리적입니다. 하지만 1Password, BeyondTrust, Cloudflare와 같은 사이버 보안 회사에 대한 지속적인 공격과 이들을 연결 짓는 구체적인 증거는 아직 없습니다.
옥토 템페스트의 기술 숙련도
옥토 템페스트는 평범한 해킹 그룹이 아닙니다. Microsoft의 연구에 따르면 이들의 기술력과 조직적인 접근 방식이 강조됩니다. 이들은 목표를 달성하기 위해 다양한 전술, 기술 및 절차(TTP)를 사용합니다.
최전선에서 활약하는 소셜 엔지니어링
옥토 템페스트의 뛰어난 기술 중 하나는 특히 IT 지원 및 헬프 데스크 직원을 노리는 사회 공학입니다. 이들은 피해자의 배경을 깊이 파고들어 개인 정보를 악용하기 위해 공격을 맞춤화합니다. 어떤 경우에는 전화 통화에서 피해자의 말투를 모방하는 것까지 진행하기도 합니다.
공포를 조장하는 전술
옥토 템페스트는 공포를 조장하는 전술을 사용하는 데 주저하지 않습니다. Microsoft는 피해자의 가족을 위협하는 조직원의 스크린샷을 공유하여 위협의 심각성을 강조했습니다.
권한 에스컬레이션
이들은 셀프 서비스 비밀번호 재설정을 시작하기 위해 직원의 전화번호를 도용하거나 SIM 스와핑을 통해 권한을 확대하는 경우가 많습니다. 헬프데스크를 소셜 엔지니어링하여 관리자 비밀번호를 재설정하는 것도 공격자들이 사용하는 또 다른 방법입니다.
피해자 환경 내 조치
일단 피해자의 환경에 침투하면 옥토 템페스트는 가차없이 공격합니다. 사용자, 그룹 및 디바이스 정보를 대량으로 내보내는 등의 작업을 수행합니다. 침해된 사용자 프로필에서 사용할 수 있는 데이터와 리소스를 열거합니다.
네트워크 아키텍처, 직원 온보딩, 원격 액세스 방법, 자격 증명 정책, 볼트에 대한 호기심도 커지고 있습니다. 멀티클라우드 환경, 코드 리포지토리, 서버 및 백업 관리 인프라도 이들의 레이더망에 포착됩니다.
탐지 회피
옥토 템페스트는 보안 제품 및 기능을 비활성화하고 공개적으로 사용 가능한 보안 툴을 활용하여 탐지를 교묘하게 회피합니다. 원격 모니터링 및 관리(RMM) 도구를 통해 엔드포인트에 대한 지속성을 보장합니다.
옥토 템페스트의 궁극적인 목표는 데이터를 훔쳐 랜섬웨어를 배포하는 것입니다. 랜섬웨어를 배포하는 것입니다. 이들이 훔치는 데이터는 액세스 수준과 능력에 따라 다릅니다.
Microsoft 분산 스파이더 기술 이해
옥토 템페스트의 운영에서 가장 흥미로운 측면 중 하나는 Azure 데이터 팩토리 플랫폼과 자동화된 프로세스를 사용하여 데이터를 자체 보안 파일 전송 프로토콜(SFTP) 서버로 유출한다는 점입니다. 이러한 접근 방식을 통해 자신들의 활동을 합법적인 빅 데이터 작업으로 위장할 수 있습니다. 또한, 이들은 합법적인 Microsoft 365 백업 솔루션(예: CommVault 및 Veeam)을 등록하여 SharePoint 문서 라이브러리의 유출을 신속하게 처리하는 것으로 관찰되었습니다.
Microsoft의 스파이더 경고에 대처하는 방법
옥토 템페스트의 정체를 밝히는 것은 사이버 보안 방어자들에게 엄청난 도전 과제입니다. 이들은 사회 공학, 은밀한 기법, 다양한 툴을 사용하기 때문에 공격자를 찾아내기 어렵습니다. 하지만 자세한 기술 정보 에 대한 자세한 기술 정보는 Microsoft에서 확인할 수 있지만, 다음은 방어자를 위한 몇 가지 일반적인 지침입니다:
- 경계 모니터링: 네트워크 트래픽, 사용자 행동, 시스템 활동을 지속적으로 모니터링하여 비정상적인 패턴과 이상 징후를 발견하세요.
- 사용자 인증: 다단계 인증을 구현하여 사용자 계정을 강화하고 무단 액세스를 방지하세요.
- 보안 교육: 직원들이 소셜 엔지니어링 시도와 피싱 공격을 인식하도록 교육하여 조작에 덜 취약하도록 하세요.
- 패치 관리: 소프트웨어와 시스템을 최신 보안 패치로 최신 상태로 유지하여 취약점을 차단하세요.
- 사고 대응 계획: 침해 발생 시 신속하게 대응하여 잠재적 피해를 최소화할 수 있는 강력한 사고 대응 계획을 수립하세요.
- 협업 인텔리전스: 법 집행 기관, 위협 인텔리전스 조직 및 사이버 보안 커뮤니티와 협력하여 정보를 공유하고 위협 인식을 개선하세요.
- 지속적인 개선: 정기적으로 보안 조치를 평가하고 개선하여 진화하는 위협에 한 발 앞서 대응하세요.
결론
결론적으로, 옥토 템페스트의 급속한 부상과 정교한 전술은 조직과 사이버 보안 전문가들에게 심각한 도전 과제입니다. 계속해서 진화하고 있는 옥토 템페스트에 대한 정보, 경계, 사전 대응을 유지해야 합니다. Microsoft 스파이더 경고의 의미 에 대한 정보, 경계 및 사전 대응을 유지하는 것이 위협을 방어하는 데 매우 중요합니다. 이러한 원칙을 준수하고 지식과 전문 지식을 공유하기 위한 공동의 노력을 통해 사이버 보안 커뮤니티는 이 위험한 사이버 범죄 그룹이 제기하는 위험을 완화하기 위해 협력할 수 있습니다.
이 글의 출처에는 다음 기사가 포함됩니다. 해커 뉴스 와 컴퓨터 위클리.