MS사에서 공개한
랩서스(Lapsus$) 해킹 조직의 TTPs
마이크로소프트社는 블로그에 랩서스(Lapsus$)라는 해킹 조직의 공격전략인 TTPs를 공개했다.
아래는 해당 링크 주소이다.
제목은 "DEV-0537 criminal actor targeting organizations for data exfiltration and destruction"로 해석을 하면, "데이터 유출 및 파괴를 위해 조직을 표적으로 하는 범죄 행위자 DEV-0537"이다.
MS에서는 랩서스(Lapsus$)라는 조직을 DEV-0537이라고 부르나 보다.
마이크로소프트 블로그 주소 :
DEV-0537 criminal actor targeting organizations for data exfiltration and destruction - Microsoft Security Blog
The activity we have observed has been attributed to a threat group that Microsoft tracks as DEV-0537, also known as LAPSUS$. DEV-0537 is known for using a pure extortion and destruction model without deploying ransomware payloads.
www.microsoft.com
1. 피해 사건
우선, 랩서스 해킹조직에 의해서 발생했다고 보는 사건은 아래와 같다.
엔비디아, 삼성전자, LG전자, , 보다폰, 마이크로소프트, 옥타
| 피해 단체 | 공격 확인 | 공격 내용 |
| Brazilian Ministry of Health (브라질 보건부) |
2021-12-10 | 브라질 보건부의 AWS(Amazon Web Services)에 대한 액세스 권한 클라우드와 내부망에 있는 데이터 약 50TB를 탈취했고, 이후 모두 삭제 |
| Claro, Embratel, NET (멕시코 통신사) |
2021-12-24 | 데이터를 탈취 : 고객 정보, 통신 인프라, 법적 문서, 소스코드, 이메일이 포함된 총 10,000TB~10PB의 데이터를 확보 |
| mpresa, SIC, Expresso (포르투갈 최대어 기업) |
2022-01-02 | Expresso의 트위터 계정을 해킹했고, OPTO, Expresso, SIC의 고객들에게 SMS를 보냈다. 또한, AWS로부터 데이터를 탈취했다고 언급하며, 각 웹사이트의 메인 페이지를 변경 |
| Localiza Rent a Car SA (렌터카 업체) |
2022-01-11 | Localiza의 홈페이지에 접속하면 포르노 사이트로 리다이렉션되는 현상 |
| Vodafone in Portugal (영국 보다폰의 포르투갈 지사) |
2022-02-07 | 500GB의 중요 정보를 탈취 |
| 엔비디아 NVIDIA |
2022-02-23 | - 엔비디아의 프레임속도 향상 기술인 DLSS와 관련된 소스코드를 포함해 엔비디아 소프트웨어(SW)에 대한 정보가 포함된 19GB 파일을 유출 - 엔비디아 서버에서 GPU 회로도를 포함해 중요 데이터 1테라바이트(TB)를 빼냈다 |
| 삼성전자 | 2022-03-03 | 지난 5일에는 삼성전자 서버를 해킹해 190GB에 달하는 데이터. 랩서스는 해킹한 파일에 △생체인식 알고리즘 △부트로더 △하드웨어 암호화 등에 사용하는 트러스트존 △퀄컴 기밀 사항 △삼성 활성화 서버 △삼성 계정 인증 소스 코드 |
| 유비소프트(Ubisoft) |
2022-03-11 | 11일(현지시각) 유비소프트는 지난주 일부 게임, 시스템 및 서비스를 일시적으로 중단시킨 사이버보안 사고를 경험 |
| LG전자 | 2022-03-14 | LG전자의 LG전자 직원 및 서비스 계정 해시를 덤프 (총 8만8759줄의 텍스트) |
| 마이크로소프트 | 2022-03-20 | 마이크로소프트(MS)의 △BIng △Bing Maps △Contana 관련 소스코드도 일부 공개 |
| 옥타(Okta) | 2022-03-22 | 계정(Identity) 관리 플랫품 옥타(Okta)의 슈퍼유저 및 관리자(Superuser/Admin)로 다양한 시스템에 접속한 이미지 화면 공개 |
출처 : 보안뉴스, https://www.boannews.com/media/view.asp?idx=105642
2. 랩서스 그룹 특징
MS에서 밝힌 랩서스 그룹의 특징이다.
- 알려진 게 많이 없음.
- 랜섬웨어 배포 x
- 순수하게 데이터 탈취 / 파괴
- 초기 : 영국 / 남미 대상
- 자취를 감추지 않고 SNS 활용함.
3. 랩서스의 TTPs
TTPs란 'Tatic전술, Technique기술, Procdure절차'의 약자이다.
■ 1단계 : 초기 접근권한 확보 Initial access
공격 대상 기업의 접근 권한 확보 노력.
1. 사용자 ID 손상시키는 노력 시도
- 비밀번호와 세션 토큰을 훔치기 위한 악성코드 'Redline 인포스틸러' 배포
- 지하범죄 포럼에서 크리덴셜 및 세션토큰 구매
- 기업 소속 직원 또는 공급업체, 비즈니스 파트너 직원에게 비용을 지불하고 크리덴셜 획득 및 MFA 승인
- 노출된 크리덴셜 확보를 위해 공개 코드 저장소 검색
2. 손상된 크리덴셜 또는 세션 토근으로 어플리케이션 액세스
- MFA (mutifactor authentication) 승인 유도
: 세션 토큰 재생 + 도난당한 암호 사용
- 개인 이메일 해킹
: 개인 계정이나 휴대폰 번호로 2차 인증 또는 비밀번호 복구 시 사용 활용.
- SIM 스와핑 공격 시도
: 모바일 인증 모두 우회 가능
* Redline 인포 스틸러
: 웹브라우저 자동 로그인 기능을 이용해 사용자 계정 정보를 탈취하는 악성코드.
악성코드에 대한 자세한 내용 : 안랩 홈페이지(https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=31089)
** MFA승인 = MultiFactor Authentication = 멀티 펙터 인증 = 다단계 인증
: 로그인 프로세스에 보호 계층을 추가한 것으로, 계정이나 앱에 접근할 때 사용자가 지문, 전화 코드 입력과 같이 추가로 ID 확인하는 방식
*** SIM 스와핑 (SIM Swapping)
: 다른 사람들의 휴대폰 유심을 복제해서 은행/가상화폐 계좌나 보인 인증 등의 정보를 해킹할 수 있는 기법으로, 유심침을 빼내 직접 복사를 하거나 사용자 악성 주소를 클릭하여 유심 정보를 빼내는 방법도 있다.
관련 기사 : https://www.hankookilbo.com/News/Read/A2022012012470001374
3. 접근권한 취득 후 회사 VPN에 접속 시도
* 일부 ) 조건부 접속을 위해 Azure AD에 등록 또는 가입
■ 2단계 : 정찰 및 권한 상승 Reconnaissance and privilege escalation
- 1단계에서 기업에 대한 접근권한을 획득한 이후, 액세스 권한을 확장하기 위한 노력을 시도함.
> 추가 크리덴셜 찾기
> 침입 지점 찾기
1. 사용자 권한 확인
- AD 익스플로러 이용 : 해당 네트워크의 모든 사용자의 권한과 그룹을 확인, 어떤 사람에게 높은 권한이 있는지 확인
2. 권한 상승 노력
- JIRA, Gitlab 및 Confluence를 포함하여 내부적으로 액세스 가능한 서버에서 패치되지 않은 취약점 악용
- 노출된 자격 증명 및 비밀에 대한 코드 저장소 및 협업 플랫폼 검색
- 헬프 데스크 활용 : 계정 복구에 많이 사용되는 정보(당신이 살았던 첫 번째 나라 등) 미리 확보/ 헬프 디스크에 전화를 해 신뢰를 획득한 후에 권한 상승
■ 3단계 : 유출과 갈취 Exfiltration, destruction, and extortion
- 데이터 유출 방법 :
1. 랩서스 자체적으로 운영하는 가상 사설 서버(VPS) 인프라 운영
2. 이그레스 포인트로 노드 VPN 이용
* 이그레스 : 서버 내부에서 외부로 나가는 트래픽
3. 지리적으로 공격 대상과 유사한 VPN출구 지점 이용
- 애저AD의 불가능한 여행 탐지 우회
- 데이터 유출 후 기업의 사고 인지 및 대응 방법 확인
1) 기업의 콜/내부 게시판(Slack, Teams, 회의 통화 등) 확인
2) 기업의 사고대응 절차를 이해하고 활용 > 피해기업의 심리상태 / 침해 사고에 대한 기업의 인식 / 갈취 요구를 시작할 위치 등을 파악
4. 금전 요구 시도 또는 금전 요구 없이 유출 시도
4. 대응방법
1. MFA 강화
- 모든 사용자에 대해 MFA 적용
- 안전하지 않은 MFA :
1) 전화 기반의 MFA > SIM swapping가능
2) 단순 음성 승인, 단순 푸시, 보조 이메일
3) 사용자 간 공유 금지
- 안전한 MFA 사용 : FIDO토근 또는 MS 어센틱케이터 등
2. 안전한 엔드포인트
3. VPN에 대한 최신 인증 옵션 활용
4. 클라우드 보안 태세 강화 및 모니터링
5. 사회공학 공격에 대한 인식개선
