[9-3] 크리덴셜 스터핑 공격 / 트윌리오 침해 사건, 옥타퍼스 피싱

이번주 패치/취약점: MS & SAP 😒 Korean news Briefing 트윌리오 침해 사건, 옥타퍼스 피싱 캠패인    지난 8월, 고객 관리 플랫폼인 트윌리오(Twilio)에서 옥타퍼스(Oktapus)라고 이름이 붙은 피싱 캠페인이 진행되고 있었다는 사실이 발견됐습니다. 트윌리오와 콘텐츠 배포 네트워크인 클라우드플레어(Cloudflare) 임직원들의 옥타(Okta) 크리덴셜이 표적이었습니다. 공격자들이 사용한 피싱 기법은 그리 수준이 높지 않았지만, 130개 이상의 조직들이 이 공격의 영향을 받았습니다. 결국 공격자들은 옥타 크리덴셜 1만 개 세트를 가져가는 데 성공했으며, 사건은 다음의 순서로 발생한 것으로 현재까지 정리되고 있습니다.   1) 공격자가 트윌리오 IT부서인 척 직원들에게 문자 발송   2) 로그인 내용으로 속은 직원 일부가 회사용 크리덴셜과 이중인증 코드를 전송   3) 이 과정에서 옥타를 통한 싱글사인온 기능을 활용하던 계정들이 표적   4) 직원 계정으로 로그인 한 공격자들은 트윌리오 고객사들로도 공격   5) 그러면서 옥타 싱글사인온 크리덴셜이 다수 채집   엘리자베스 여왕의 죽음 악용하는 사이버 공격자들    영국 엘리자베스 여왕의 죽음을 피싱 공격에 활용하는 사이버 범죄 행위가 급증하는 중이라고 합니다. 특히 마이크로소프트 로그인 크리덴셜과 다중인증 코드를 노리는 경우가 많아지고 있다고 매체는 보도했습니다. 공격자들은 MS를 사칭하여 엘리자베스 여왕에게 인사말을 짤막하게 남길 수 있다는 식으로 피해자들에게 접근하고 있고, 여기에 속아 글을 남기기 위해 로그인을 하는 순간 해당 정보는 공격자들의 손에 넘어간다고 합니다.   사이버 공격자들은 중요한 사회 이슈들을 피싱 공격용 미끼로 발빠르게 활용하는 모습을 꾸준히 보여주는데, 코로나 때문에 전 세계가 봉쇄에 들어갔을 때도 피싱 공격자들은 코로나와 팬데믹이라는 키워드로 단단히 재미를 봤습니다. 사이버 범죄자들은 기술적인 측면에서만 뛰어난 면모를 보이는 게 아니라, 오히려 시사를 적절히 활용해 인간의 심리를 건드리는 면에서 점점 더 전문가가 되어가고 있습니다. ▶ 데일리 보안뉴스 Top 5 이 메일이 잘 안보이시나요? Let's do intelligence Security    크리덴셜 스터핑공격은 몇 년전 부터 디지털 범죄자들 사이에서 선호되는 공격 방식이 되었습니다. 2020년 전세계적으로 1,930억 번의 크리덴셜 스터핑 공격이 있었다고 보고되었는데, 특히 금융서비스 기업들은 34억 번의 공격피해를 받았으며 이는 작년대비 45% 증가한 수치였습니다. 범죄자들은 기존의 유저들의 계정을 공격하고, 신규 계정을 생성하는 방식의 디지털 상의 계정공격에 집중하고 있고, 10개 중 3개는 거의 크리덴셜 공격으로 이루어져 있었습니다.    악의적인 공격자들이 유저들의 계정정보를 탈취하기 위해서 그들의 부수적인 정보를 탈취하거나, 피싱캠페인, 대량의 패스워드 시도 등을 하는 시점이 바로 크리덴셜 스터핑 공격이 시작이 되는 것입니다. 공격자들은 많은 웹페이지에 걸쳐있는 크리덴셜을 테스트 하기위해서 자동화된 도구를 사용하는데 이는 온라인 마켓플레이스 및 소셜미디어 플랫폼에서 사용 되었을 만한 개인정보들 입니다. 또한 이 많은 해킹툴킷들은 무료로 또는 적은 비용으로 이용이 될 수 있으며, 공격자들이 특정 웹페이지의 파일을 공격대상으로 삼기 위해서 사용할 만한 설정까지도 함께 제공한다고 합니다.    크리덴셜 스터핑과 같이 공격 자동화 기술은 해커들의 진입장벽을 낮출 수 있게 하며, 공격자들이 이미 다크웹에서 얻은 대량의 패스워드를 기반으로, 자동화 툴과 스크립트들이 실질적으로 침투할 수 있게 만드는 실태를 알아 봅시다.  ▶ 크리덴셜 스터핑 공격의 현황   내부자 위협과 공격을 차단시키는 제로 트러스트 아키텍처 구현방법으로 IBM Verify 가 어떤  앞선 보안을 구현하는지 확인해 보시기 바랍니다. ▶ IBM 제로트러스트 아키텍쳐  Vulnerability in detail Squatting Campaign #Chicago Mercantile Exchange   #RBC Royal Bank  #Amazon  #JPMorgan.Chase  #Taobao  #U.S.Bank  #Baidu  #Commonwealth Bank of Australia  #Disney  #Barclays Risk Collection #Supervisor XML-RPC RCE Attempt Patch for Sept 2022 release from Microsoft ▶ fixes for a total of 63 flaws Patch for Sept 2022 release from SAP  ▶ 8 new Security Notes and 5 updates ▶ X-Force 취약점 대시보드 Today IBM Security What's QRadar Tips & Function ▶ QRadar가 Oracle Cloud Market Place에 출시 ▶ QRadar를 이용하여 사용자 이상 행위를 조사방법  [ Timer Function for SOAR ] An example workflow using this function will sleep for a specified amount of time. The function takes as input timer_time or timer_epoch as input.  [ SentinelOne APP - QRadar ] The solution uses the SentinelOne REST APIs to fetch information about threats, custom detection alerts, Ranger detections, endpoints, users, and other objects from the SentinelOne Console.