| 요약 | - 오메가(0mega) 랜섬웨어 그룹이 한 기업의 셰어포인트 온라인(SharePoint Online) 환경을 침해하는 데 성공 - 기존 랜섬웨어 공격과 달리 관리자 계정을 공략 - SaaS 애플리케이션을 대상으로 랜섬웨어 공격에 성공한 최초 사례 |
| 내용 | - 기존의 SaaS 환경을 대상으로한 랜섬웨어 공격은 엔드포인트를 겨냥 > 이에 따라 기업에서는 랜섬웨어 대응을 위해 엔드포인트 보안에 많은 투자 - 오메가 그룹은 엔드포인트가 아닌 보안이 취약한 관리자 계정을 공략 > MS 글로벌(MS Global) 환경의 관리자 계정을 탐색 > 보안 설정이 제대로 적용되지 않은 계정을 찾아 크리덴셜 확보_인터넷 연결, MFA 미설정 계정 등 > 침해 계정을 이용해 AD 사용자 생성 (사용자명: 0mega) > 새롭게 생성한 계정에 가능한 모든 권한 부여 > 해당 계정을 사용해 기존 관리자 계정 삭제 및 라이브러리에 저장된 파일을 유출 (Node.js 모듈 sppull 활용) ※ sppull: 셰어포인트로부터 파일을 쉽고 간단하게 다운로드 할 수 있도록 개발되었으며, 셰어포인트 사용자들 사이에서 높은 인기를 지님 > 침해 사실을 알리고 요구 사항을 전달하기 위한 수천 개의 텍스트 파일을 업로드 (Node.js 모듈 got 사용) |
| 기타 | - SaaS 애플리케이션을 겨냥한 랜섬웨어 공격들은 대부분 엔드포인트로부터 시작 > 보안이 취약한 엔드포인트를 찾아 침해 후 파일 유출 및 암호화 - 이번 침해 사건으로 인해 대응 전략 수정이 요구됨 > SaaS 환경을 직접 침해해 자동화 기술로 데이터를 빼돌린 최초의 랜섬웨어 사례 ① SaaS 환경 중앙에서 공격을 할 수 있다는 것을 공격자들이 증명 ② 자동화 모듈을 가지고 데이터를 유출 - 최근 6개월 동안 기업 SaaS 환경을 겨냥한 사이버 공격이 크게 증가 > 지난 2년간 발생한 SaaS 공격을 다 합한 것보다 많음 > 많은 기업들이 SaaS 환경에 중요한 데이터를 보관하고 있기 때문 > 재택 근무의 확산의 영향 - SaaS를 사용하는 기업들은 엔드포인트만이 아니라 SaaS 환경 전체를 보호해야만 하는 상황 |
보안뉴스
사상 첫 자동화 SaaS 랜섬웨어 공격을 성공시킨 오메가 일당들
오메가(0mega)라는 이름의 랜섬웨어 그룹이 한 기업의 셰어포인트 온라인(SharePoint Online) 환경을 침해하는 데 성공했다. 특이하게도 기업의 엔드포인트를 통해 공격을 성공시킨 게 아니라 관리자
www.boannews.com
'보안뉴스' 카테고리의 다른 글
| MS, “6월초 있었던 아웃룩/클라우드 기능 장애는 사이버 공격에 의한 것” 외 3건 (0) | 2023.06.19 |
|---|---|
| 제로데이 개념증명용 코드인 줄 알았는데 사실은 멀웨어 외 2건 (0) | 2023.06.19 |
| PyPI의 ‘이중인증 필수’ 정책, 올바른 방향이긴 하지만 (0) | 2023.06.06 |
| 과기정통부, 소프트웨어(SW) 공급망 공격 대응방안 마련한다! (0) | 2023.06.04 |
| 北 김수키 해킹조직 관련 韓美 합동 사이버보안 권고 (0) | 2023.06.03 |