새로운 랜섬웨어 조직은 지난 몇 개월 동안 조직의 Okta 계정을 표적으로 삼아 다른 중요 애플리케이션에 대한 액세스 권한을 얻음으로써 이름을 알리기 시작했습니다.Oktapus 공격이라는 이름에 걸맞게 전 세계 100개 이상의 조직에서 고도로 표적화된 스피어피싱 캠페인을 통해 다단계 인증 (MFA) 자격 증명을 도용했습니다.최근 세간의 이목을 끄는 두 건의 공격은 트윌리오 과 도어 대시 수천 명의 개인 식별 정보 (PII) 를 포함한 고객 데이터가 손상되었습니다.
실망스러운 점은 표적 조직의 보안 전문가들이 공격을 쉽게 식별할 수 있었지만, 조직이 초기 침해 이후에 조치를 취하고 중요한 데이터를 추출할 수 있었던 속도로 인해 공격을 막는 것이 거의 불가능했다는 것입니다. 이는 탐지 및 치료에만 집중하는 것이 계속해서 기업을 큰 위험에 빠뜨리는 이유를 보여줍니다.
초기 액세스 제거를 강조하는 예방적 보안 접근 방식을 취하면 중요한 비즈니스 시스템을 제어하고 귀중한 데이터를 유출할 수 있는 다른 맬웨어와 더불어 성공적인 랜섬웨어 공격의 급증으로부터 조직을 보호할 수 있습니다.하지만 위협 영역이 확대되고 조직을 보호하는 도구 (예: MFA 도구 Okta) 가 공격을 받고 있는 상황에서 기업은 무엇을 할 수 있을까요?
공격의 해부학
사이버 인텔리전스 연구팀의 보고서에 따르면 그룹 IB공격은 숙련도가 낮은 방법을 사용하여 표적 Okta 계정을 손상시켰으며 거의 실시간으로 신속하게 후속 시스템 및 애플리케이션을 표적으로 삼고 중요한 고객 데이터를 유출할 수 있었습니다.
허위 Okta 인증 페이지로 연결되는 링크가 포함된 문자 메시지나 이메일을 사용자에게 보내는 방식으로 Okta 고객을 대상으로 공격을 시작했습니다.피해자들은 웹 양식에 사용자 이름과 암호를 입력하라는 메시지를 받은 후 2FA 코드를 입력하라는 요청을 받았습니다.공격자들은 고유 코드 또는 푸시 알림이 만료되기 전에 (대개 2분 이내에) 신속하게 조치를 취해야 했습니다. 즉, 보안 침해가 발생하는 즉시 자격 증명을 사용할 수 있도록 도구를 실시간으로 모니터링했을 가능성이 높습니다.
Oktapus는 오늘날 흔히 볼 수 있는 매우 정교한 회피 기술을 활용하기보다는 놀라움과 속도라는 요소에 의존하여 피해자를 해킹했습니다. 고도로 회피적인 적응형 위협 (HEAT).그리고 이 공격은 사이버 보안에 대한 탐지 전용 접근 방식에 계속 의존하고 있는 기업에 경고를 보낼 것입니다.보안 툴이 대부분 동일한 이미지, 글꼴 및 스크립트를 사용하는 사기성 도메인을 신속하게 탐지할 수 있었다는 사실은 중요하지 않았습니다.Oktapus는 페이로드를 전송하고 데이터를 추출하는 데 거의 실시간으로 작업하면서 속도가 더 빨랐습니다.위협이 탐지될 무렵에는 이미 너무 늦었고 피해는 이미 발생한 상태였습니다.사기성 로그인 페이지가 탐지되어 블랙리스트에 추가되더라도 랜섬웨어 조직은 신속하게 다른 도메인을 개설하여 조직의 다른 개인을 계속 표적으로 삼을 수 있었습니다.블랙리스트 작성, URL 필터링 또는 피싱 훈련을 아무리 많이 해도 공격을 제때 막을 수는 없었습니다.
초기 액세스 방지
초기 액세스를 차단할 수 있었던 기업만이 Oktapus의 긴 촉수를 피할 수 있었습니다.격리 기술은 사기성 도메인을 탐지하고 블랙리스트에 추가하기 위해 기다릴 필요 없이 사용자와 나머지 인터넷 사용자 사이에 가상 공백을 만들어 자격 증명을 입력하지 못하게 합니다.격리는 알려진 콘텐츠와 알려지지 않은 모든 콘텐츠가 악의적이라고 가정하므로 클릭 한 번으로 허용 또는 차단을 결정할 필요가 없습니다.이러한 초기 액세스를 중지하면 공격자가 네트워크에 침투하여 데이터를 추출할 수 있는 모든 가능성을 차단하여 기업을 효과적으로 보호할 수 있습니다.
공격이 실시간으로 계속 확산됨에 따라 사이버 보안에 대한 탐지 및 대응 접근 방식을 취하는 것만으로는 기업이 점점 더 혁신적으로 변화하는 오늘날의 악의적 행위자를 차단하는 데 필요한 수준의 보호를 제공하지 못할 것이라는 사실이 점점 더 분명해지고 있습니다.도구가 아무리 똑똑하고 위협 인텔리전스가 얼마나 포괄적이든, 그것만으로는 충분하지 않습니다.공격자는 항상 한 발 앞서 있을 것입니다.격리 기술을 통해 초기 액세스를 방지하는 것만이 랜섬웨어와 기타 멀웨어 공격을 차단할 수 있는 유일한 방법입니다.