탈취한 자격증명 활용해 전 세계 조직의 잘못 구성된 SaaS 인스턴스 침해
2024년 초, 캐나다 법무부는 스노우플레이크(Snowflake) 고객인 165개 조직의 해킹 사건에 연루된 혐의로 알렉산더 '코너' 무카(Alexander 'Connor' Moucka)를 체포했다. 무카는 탈취한 자격증명을 활용해 전 세계 조직의 잘못 구성된 SaaS 인스턴스를 침해한 것으로 알려졌다. 이와 함께, 그의 공모자인 존 빈스(John Binns)도 터키 당국에 의해 구금되었다.
구글 클라우드 맨디언트 수석 위협 애널리스트인 오스틴 라슨(Austin Larsen)은 "알렉산더 '코너' 무카로 알려진 UNC5537은 2024년 가장 치명적인 공격자 중 하나로 입증되었다. 2024년 4월, UNC5537은 100개 이상의 조직에서 잘못 구성된 SaaS 인스턴스를 체계적으로 손상시키는 캠페인을 시작했다. 조직은 이 작전으로 인해 상당한 데이터 손실과 갈취 시도로 인한 어려움을 겪었다. 이들의 공격은 기성 툴을 사용해 한 개인이 초래할 수 있는 심각한 피해 규모를 보여준다. 이번 체포는 사이버 범죄자들을 억제하고 그들의 행동이 심각한 결과를 초래한다는 점을 각인시키는 역할을 할 것이다."라고 밝혔다.
또한, 맨디언트의 관계자는 "맨디언트는 도난당한 자격증명을 사용해 초기 액세스 권한을 얻은 침해 공격을 높은 비율로 계속 대응하고 있다. 공격자는 가장 일반적으로 피싱 이메일이나 인포스틸러 멀웨어 사용, 이러한 방법을 사용하는 공격자로부터의 구매 등 여러 가지 방법으로 자격증명을 획득하고 있다. 이러한 멀웨어 범주는 UNC5537 외에도 UNC3944와 UNC3661을 비롯한 많은 금전적 목적의 침해 공격자가 사용했다. 갈취 작전에 참여하는 공격자가 인포스틸러를 자주 사용하는 것은 불법 커뮤니티 전반에 걸쳐 인포스틸러에 대한 지속적인 관심이 증가하고 있다는 것을 말한다. 또한, 인포스틸러가 전 세계 조직에 중대한 지속적인 위협이 되고 있음을 강조한다."라고 설명했다.
이번 사건은 조직들은 자격증명 관리와 SaaS 인스턴스 구성에 더욱 주의를 기울여야 할 필요성이 있다는 것을 말해주는 사례다.
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★
![[사설] 딥페이크 위장수사 확대, 근절하려면 무관용 원칙 적용하라](https://img.segye.com/content/image/2024/11/07/20241107500415.jpg)
