멘로 시큐리티, 기업에 손쉬운 AI 기반 데이터 보안 제공 위해 Votiro 인수
블로그 읽기
SaaS (Software as a Service) 는 세상을 변화시키고 있습니다. 거의 모든 신규 기업이 “서비스형” 솔루션을 사용하여 조직 내부 및 외부의 다양한 기능 전반에서 비즈니스 생산성과 원활한 협업을 보장함에 따라 SaaS (Software as a Service) 가 세상을 변화시키고 있습니다.그렇다면 공격자가 이러한 오픈 액세스를 악용하여 피해자를 해킹하려고 시도해서는 안 되는 이유는 무엇일까요?물론 그들은 정확히 그렇게 했습니다.우리의 데이터에 따르면 공격자들은 이제 신뢰할 수 있는 SaaS 브랜드를 통해 멀웨어와 자격 증명 피싱을 퍼뜨리는 시류에 뛰어들고 있습니다. 여기 Menlo Labs에서 근무하는 팀 (Menlo Security의 연구 부서) 은 지난 3/4분기 동안 데이터를 분석하여 악성 웹 사이트가 호스팅되는 위치를 찾아냈습니다.격리 플랫폼을 통해 프록시되는 모든 사이트를 관찰하기 때문에 보호하는 수백만 사용자의 모든 클릭과 웹 사이트 방문을 파악할 수 있습니다.(그리고 이러한 클릭과 방문을 격리했기 때문에 고객은 모든 공격으로부터 보호되었습니다.) 우리가 가진 독특한 통찰력은 클릭 시점에 어떤 웹 사이트가 무해한 것으로 간주되었다가 나중에 악의적인 것으로 밝혀져 '좋음'에서 '나쁜 웹사이트'로 바뀌었는지 아는 것입니다. 공격자들이 OneDrive 및 G Drive와 같은 클라우드 스토리지 플랫폼을 악용하여 페이로드를 호스팅하는 등 위협 환경이 분명히 변화하고 있습니다.이러한 변화는 기업에 다음과 같은 어려운 질문을 던집니다.
이러한 모든 공격은 기업에서 정기적으로 사용하는 합법적인 사이트에서 호스팅되기 때문에 화이트리스트에 의존하는 보안 공급업체는 또 다른 문제에 직면하게 됩니다.자격 증명 피싱 공격의 경우 기존 공급업체는 공유 문서에 포함된 URL을 볼 수 없고, 자격 증명 피싱 공격은 그 특성상 식별하기가 더 어렵기 때문에 문제가 더욱 심각해집니다.크리덴셜 피싱은 인간이 본질적으로 신뢰하고 있다는 사실을 이용하므로 그 신뢰를 악용하려는 공격에 취약합니다. 이 블로그에서는 Menlo Labs가 식별한 퍼블릭 클라우드 플랫폼에서 호스팅된 몇 가지 공격에 대해 자세히 설명하겠습니다.아래 다이어그램은 이러한 공격의 작동 방식에 대한 일반적인 개요를 제공합니다.
Menlo Labs는 특히 금융 및 항공 산업을 대상으로 한 피싱 캠페인을 관찰했습니다.클라우드 파일 공유 플랫폼 (Egnyte) 에 호스팅된 악성 문서가 표적이 된 피해자와 공유되었습니다. 피해자는 에그나이트로부터 문서가 공유되었다는 메시지를 받은 것으로 보입니다.피해자는 메시지에 있는 링크를 클릭한 후 Egnyte에 호스팅된 PDF 파일로 이동했습니다.아래는 악성 PDF의 스크린샷입니다. PDF 파일에서 문서 액세스를 클릭하면 다른 링크로 이동합니다: hxxps [://] CoatOfTheSmile.info/Henry/index.php?unionmars=jupitortea/.이 페이지는 실제 Microsoft 로그인 페이지를 스푸핑하는 자격 증명 피싱 페이지입니다. 우리는 이 문서들이 기업 요구에 따라 Egnyte를 사용하는 해킹당한 사용자의 계정에서 공유된 것으로 보입니다.
저희가 파악한 가장 최근의 자격 증명 피싱 캠페인은 Microsoft OneDrive에서 호스팅되었습니다.URL을 이메일로 공유했고, 클릭하면 문서가 열렸습니다.아래 이미지는 OneDrive에서 호스팅된 실제 악성 문서를 보여줍니다. 미리 보기 또는 다운로드 버튼을 클릭하면 피해자는 합법적인 Microsoft 로그인 페이지처럼 보이도록 설계된 hxxps: //nwx.pt/Office365/로 이동했습니다.
Menlo Labs의 고객 기반에서 OneDrive에서 호스팅되는 악성 페이로드가 증가하고 있습니다.OneDrive는 확실히 승자입니다. 다음은 Menlo Security가 차단하고 인기 있는 클라우드 스토리지 플랫폼에서 호스팅된 멀웨어 계열 목록 중 일부일 뿐입니다.
Menlo Security
