기사 한줄요약(22.3.25.):
엔비디아, 삼성전자, LG전자, 마이크로소프트, 옥타 등 글로벌 대형 IT기업을 해킹하고 있는 '랩서스(Lapsus$)'의 TTPs(전술/기술/절차)를 MS사에서 공개했다. 랩서스는 아직 알려진게 많이 없으며 특징은 랜섬웨어를 사용하지 않으며, 순수하게 데이터 탈취나 파괴를 하는데 목적이 있다는 것이 특징이다.
[ 랩서스의 TTPs ]
추적결과 마이크로소프트는 이들이
▲휴대전화를 이용한 소셜 엔지니어링
▲계정 탈취를 위한 SIM 스와핑
▲공격 대상 기업 직원의 개인 이메일 계정에 접근
▲크리덴셜 및 다중인증(MFA) 승인을 위해 공격 대상 기업의 직원과 파트너에 대가 지불
▲공격 대상의 위기 커뮤니케이션 엿보기 등을 전술로 활용하고 있음을 확인했다.
■ 1단계 : 초기 접근권한 확보
▲비밀번호와 세션토큰을 훔치기 위한 악성코드 '레드라인 스틸러' 배포
▲지하 범죄포럼에서 크리덴셜 및 세션토큰 구매
▲기업 소속 직원 또는 공급업체, 비즈니스 파트너 직원에게 비용을 지불하고 크리덴셜 획득 및 MFA 승인
▲ 유출된 크리덴셜 검색 등의 방법을 통해 손상된 계정을 확보했다.
■ 2단계 : 정찰 및 권한 상승
- 1단계에서 기업에대한 접근권한을 획득한 이후 액세스 권한을 확장하기 위한 노력을 시도함.
> 1. 추가 크리덴셜 찾기 > 2. 침입 지점 찾아 권한 상승노력
■ 3단계 : 유출과 갈취
1. 데이터 유출 방법 :
- 랩서스 자체적으로 운영하는 가상 사설 서버(VPS) 인프라 운영
- 이그레스 포인트로 노드 VPN이용
- 지리적으로 공격대상과 유사한 VPN출구 지점 이용
2. 데이터 유출 후 기업의 사고 인지 및 대응 방법 확인
3. 이후 금전요구 시도 또는 금전요구 없이 유출시도
■대응 방법은? "단순한 MFA나 전화 인증 피해야"
- 안전한 MFA 사용 : FIDO토근 또는 MS 어센틱케이터 등
임유경 기자, 삼성·MS 뚫은 해커집단 랩서스, 공격수법 드러났다, ZDNet Korea, https://zdnet.co.kr/view/?no=20220324153649
삼성·MS 뚫은 해커집단 랩서스, 공격수법 드러났다
마이크로소프트가 최근 몇 달 사이 글로벌 IT 기업 여러 곳을 해킹해 악명을 높인 해커집단 '랩서스(Lapsus$)'를 쫓고 있다. 마이크로소프트도 랩서스...
zdnet.co.kr
