스캐터드스파이더, 1시간 만에 로그인 플랫폼에서 클라우드에서 온프레미스로 침투

2023-11-26 16:35
  • 카카오톡
  • 네이버 블로그
  • url
지난 9월 MGM을 해킹하는 데 성공했던 그룹이 또 다시 놀라운 모습을 보여주며 공격을 실시했다. ID 관리 플랫폼에서부터 클라우드로, 그 클라우드에서 온프레미스 망으로 자유롭게 건너뛰며 결국 자신들의 목적을 달성한 것이다. 그것도 단 한 시간 만에.

[보안뉴스 문정후 기자] 미국의 대형 리조트 및 숙박 그룹인 MGM이 올해 사이버 공격에 당한 사건이 있었다. 이 사건을 일으킨 단체는 스캐터드스파이더(Scattered Spider)라고 불리는데, 최근 이들이 다시 나타나 자신들이 공격 대상으로 삼은 조직의 온프레미스 네트워크를 단 한 시간 만에 공략하는 모습을 보여주었다. 참고로 스캐터드스파이더는 블랙캣(BlackCat) 랜섬웨어와 관련이 깊은 단체로 보인다.


[이미지 = gettyimagesbank]

보안 업체 렐리아퀘스트(ReliaQuest)에 의하면 스캐터드스파이더는 옥타(Okta)의 싱글사인온 에이전트를 헬프데스크 직원으로부터 훔친 후, 이것을 가지고 서드파티 클라우드에 접속하는 데 성공한 뒤, 피해 기업의 네트워크로 들어가는 순서로 공격을 이어갔다고 한다. “처음 사건을 조사했을 때는 최초 침투 방법이 불확실한 면이 있었습니다만 몇 주가 지나면서 소셜엔지니어링 공격이 진행됐음이 분명해졌습니다. 피해자 기업, 즉 저희 고객사의 직원 계정 비밀번호가 저절로 리셋되었다는 게 확인됐거든요. 스캐터드스파이더는 MGM도 이런 식으로 뚫어냈습니다.”

’피로 유발 공격’으로 다중인증 무력화하기
렐리아퀘스트는 공격자들이 사용한 전략을 두고 ‘피로 유발 공격(fatigue attack)’이라고 묘사한다. 다중인증이 걸려 있는 계정에 로그인 시도를 계속하는 것을 말하는데, 공격자가 짧은 시간 안에 여러 번 로그인을 하면 나머지 인증 장치(예 : 문자, OTP, 인증 앱 등) 역시 계속해서 발동된다. 문자로 한 번 더 인증을 해야 하는 경우라면 해당 계정의 본래 주인에게 계속해서 인증 요청 혹은 1회용 비밀번호 문자가 가는 것이다. 이게 수없이 반복되면 사용자는 지치게 되고, 인증 요청에 기계적으로 응하게 된다.

스캐터드스파이더의 경우 2분 동안 다중인증 접속 시도를 네 번 했다. 해당 계정에 연결되어 있던 본래 사용자는 처음 세 번은 무시했다가 네 번째에는 인증을 허용했고, 공격자는 계정 접속에 성공했다. 옥타 인증 서비스와 관련이 있는 계정이었고, 공격자는 비밀번호를 재설정했다. 그리고 이 계정을 가지고 피해자가 이용하고 있던 클라우드 서비스에 접속했고, 여기서부터 빠르게 피해자의 온프레미스 환경으로 들어갔다.

피해자의 네트워크에 접속한 후 스캐터드스파이더는 다시 한 번 IT 관리자의 옥타 크리덴셜을 사용해 시트릭스 워크스페이스(Citrix Workspace)로 접속했다. 이 과정에서도 다중인증을 뚫기 위해 피로 유발 공격을 실시했다. 다중인증과 연결되어 있던 것은 기업 전체에서 관리하던 신규 장비였다. 공격자들은 이 장비를 통해 기업의 주요 작업 환경에 접속할 수 있었고, 거기서부터 여러 악성 행위(시트릭스 세션 하이재킹, 권한 상승, 횡적 이동 등)를 실시했다.

결국 스캐터드스파이더는 여러 가지 전략과 전술을 활용한 것이라고 할 수 있다.
1) 소셜엔지니어링(헬프데스크 직원 속이기)
2) IDaaS(서비스형 아이덴티티) 플랫폼을 통한 클라우드 공략
3) 파일 목록화와 찾아내기
4) 공격 지속성 확보

스캐터드스파이더, 이제 주요 위협으로 간주해야
이런 모든 과정을 진행하는 데 스캐터드스파이더에게 필요한 시간은 한 시간이었다. 이들이 얼마나 공격에 능란한지를 드러내는 것으로, 특히 피해자들이 가지고 있던 자원과 사용하고 있던 서비스들을 적절히 자신들의 목적에 맞게 사용해 유연하게 움직였다는 것이 놀랍다는 게 렐리아퀘스트의 설명이다. 게다가 특정 산업군만 노리는 게 아니라 여러 곳을 다양하게 노릴 줄 안다는 것도 이들을 만만히 봐서는 안 되는 이유라고 한다.

“스캐터드스파이더는 대단히 정교하게 표적을 설정하고 노립니다. 그리고 효율적으로 움직여 결국 횡적으로 이동할 수 있는 데에까지 이르죠. 요즘 해킹 단체들이 서로의 장점을 빠르게 흡수하여 상향평준화를 이루고 있는데, 스캐터드스파이더와 같은 공격을 더 많은 공격 단체들이 구사할 줄 알게 된다면 재앙과 같은 상황이 벌어질 것입니다. MGM 사태가 조만간 또 벌어질 수 있다는 겁니다.”

렐리아퀘스트는 이 고도화된 그룹에 대한 방비책 몇 가지를 보고서에 함께 제안했다.
1) 최소한의 권한의 법칙 철저히 유지하기
2) 반복된 다중인증 시도가 발생할 경우 관련 정보가 최상위 관리자에게 전달되도록 하기
3) 헬프데스크 직원들을 대상으로 한 보안 교육과 사용자 아이덴티티 확인 절차 강화
4) 지속적인 보안 강화 노력과 방법론 도입하기

3줄 요약
1. 지난 9월 MGM 공략했던 해킹 단체, 스캐터드스파이더.
2. 최근 단 한 시간 만에 여러 가지 전술을 복합적으로 사용해 한 기업 해킹.
3. 이들의 수법이 널리 알려지면 해커들은 또 다시 상향평준화 할 듯.

[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 알티솔루션

    • 인콘

    • 엔텍디바이스코리아

    • 마이크로시스템

    • TVT코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 지오멕스소프트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 다후아테크놀로지코리아

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 비전정보통신

    • 인텔리빅스

    • 경인씨엔에스

    • 세연테크

    • 성현시스템

    • 한결피아이에프

    • 유니뷰코리아

    • 디비시스

    • 프로브디지털

    • 스피어AX

    • 투윈스컴

    • 트루엔

    • 한국씨텍

    • 위트콘

    • 유에치디프로

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 제이슨

    • 라온시큐어

    • 시만텍

    • 유니닥스

    • 사이버아크

    • 한국IBM

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 유투에스알

    • 에이앤티코리아

    • 네티마시스템

    • 태정이엔지

    • 에이티앤넷

    • (주)일산정밀

    • 주식회사 에스카

    • 두레옵트로닉스

    • 넥스텝

    • 모스타

    • 에이앤티글로벌

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 엘림광통신

    • 보문테크닉스

    • 지와이네트웍스

    • 티에스아이솔루션

    • 구네보코리아주식회사

    • 동양유니텍

    • 엔에스티정보통신

    • 엔시드

    • 포커스에이치앤에스

    • 메트로게이트
      시큐리티 게이트

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기