캐나다 법무부, 스노우플레이크 고객 165개 조직 해킹 사건 배후로 알렉산더 ‘코너’ 무카 체포
도난당한 자격증명 활용해 전 세계 조직에서 잘못 구성된 SaaS 인스턴스 침해
올해 초 무카의 공모자인 존 빈스, 터키 당국에 체포되면서 캠페인 주도한 두 공격자 모두 구금
[보안뉴스 김경애 기자] 캐나다 법무부가 올초, 스노우플레이크(Snowflake) 고객인 165개 조직의 해킹 사건에 배후로 의심되는 알렉산더 ‘코너’ 무카(Alexander ‘Connor’ Moucka)를 체포했다.
[이미지=gettyimagesbank]
알렉산더 ‘코너’ 무카는 도난당한 자격증명을 활용해 전 세계 조직에서 잘못 구성된 SaaS 인스턴스를 침해한 것으로 알려졌다.
올해 초 무카의 공모자인 존 빈스(John Binns)가 터키 당국에 체포되면서 이 캠페인을 주도한 두 공격자가 모두 구금됐다.
이와 관련해 구글 클라우드 맨디언트 수석 위협 애널리스트 오스틴 라슨(Austin Larsen)과 맨디언트 관계자는 성명을 발표했다.
알렉산더 무카와 존 빈스 체포와 관련해 구글 클라우드 맨디언트 수석 위협 애널리스트 오스틴 라슨(Austin Larsen)은 “알렉산더 ‘코너’ 무카로 알려진 UNC5537은 2024년 가장 치명적인 공격자 중 하나로 입증됐다”며 “2024년 4월, UNC5537은 100개 이상의 조직에서 잘못 구성된 SaaS 인스턴스를 체계적으로 손상시키는 캠페인을 시작했다”고 말했다.
조직은 이 작전으로 인해 상당한 데이터 손실과 갈취 시도로 인한 어려움을 겪었다며 이들의 공격은 기성 툴을 사용해 한 개인이 초래할 수 있는 심각한 피해 규모를 보여준 사례라는 것.
이번 체포는 사이버 범죄자들을 억제하고 그들의 행동이 심각한 결과를 초래한다는 점을 각인시키는 역할을 할 것이라고 밝혔다.
맨디언트의 또 다른 관계자는 “맨디언트는 도난당한 자격증명을 사용해 초기 액세스 권한을 얻은 침해 공격을 계속 대응하고 있다”며 “공격자는 가장 일반적으로 피싱 이메일이나 인포스틸러 멀웨어 사용, 이러한 방법을 사용하는 공격자로부터의 구매 등 여러 가지 방법으로 자격증명을 획득하고 있다”고 밝혔다.
그는 “이러한 멀웨어 범주는 UNC5537 외에도 UNC3944와 UNC3661를 비롯한 많은 금전적 목적의 침해 공격자가 사용했다”며 “갈취 작전에 참여한 공격자가 인포스틸러를 자주 사용하는 건 불법 커뮤니티 전반에 걸쳐 인포스틸러에 대한 지속적인 관심이 증가하고 있다”는 것을 시사한다고 설명했다. 또한, 인포스틸러가 전 세계 조직에 중대한 지속적인 위협이 되고 있음을 강조한다고 덧붙였다.
[김경애 기자(boan3@boannews.com)]
도난당한 자격증명 활용해 전 세계 조직에서 잘못 구성된 SaaS 인스턴스 침해
올해 초 무카의 공모자인 존 빈스, 터키 당국에 체포되면서 캠페인 주도한 두 공격자 모두 구금
[보안뉴스 김경애 기자] 캐나다 법무부가 올초, 스노우플레이크(Snowflake) 고객인 165개 조직의 해킹 사건에 배후로 의심되는 알렉산더 ‘코너’ 무카(Alexander ‘Connor’ Moucka)를 체포했다.
[이미지=gettyimagesbank]
알렉산더 ‘코너’ 무카는 도난당한 자격증명을 활용해 전 세계 조직에서 잘못 구성된 SaaS 인스턴스를 침해한 것으로 알려졌다.
올해 초 무카의 공모자인 존 빈스(John Binns)가 터키 당국에 체포되면서 이 캠페인을 주도한 두 공격자가 모두 구금됐다.
이와 관련해 구글 클라우드 맨디언트 수석 위협 애널리스트 오스틴 라슨(Austin Larsen)과 맨디언트 관계자는 성명을 발표했다.
알렉산더 무카와 존 빈스 체포와 관련해 구글 클라우드 맨디언트 수석 위협 애널리스트 오스틴 라슨(Austin Larsen)은 “알렉산더 ‘코너’ 무카로 알려진 UNC5537은 2024년 가장 치명적인 공격자 중 하나로 입증됐다”며 “2024년 4월, UNC5537은 100개 이상의 조직에서 잘못 구성된 SaaS 인스턴스를 체계적으로 손상시키는 캠페인을 시작했다”고 말했다.
조직은 이 작전으로 인해 상당한 데이터 손실과 갈취 시도로 인한 어려움을 겪었다며 이들의 공격은 기성 툴을 사용해 한 개인이 초래할 수 있는 심각한 피해 규모를 보여준 사례라는 것.
이번 체포는 사이버 범죄자들을 억제하고 그들의 행동이 심각한 결과를 초래한다는 점을 각인시키는 역할을 할 것이라고 밝혔다.
맨디언트의 또 다른 관계자는 “맨디언트는 도난당한 자격증명을 사용해 초기 액세스 권한을 얻은 침해 공격을 계속 대응하고 있다”며 “공격자는 가장 일반적으로 피싱 이메일이나 인포스틸러 멀웨어 사용, 이러한 방법을 사용하는 공격자로부터의 구매 등 여러 가지 방법으로 자격증명을 획득하고 있다”고 밝혔다.
그는 “이러한 멀웨어 범주는 UNC5537 외에도 UNC3944와 UNC3661를 비롯한 많은 금전적 목적의 침해 공격자가 사용했다”며 “갈취 작전에 참여한 공격자가 인포스틸러를 자주 사용하는 건 불법 커뮤니티 전반에 걸쳐 인포스틸러에 대한 지속적인 관심이 증가하고 있다”는 것을 시사한다고 설명했다. 또한, 인포스틸러가 전 세계 조직에 중대한 지속적인 위협이 되고 있음을 강조한다고 덧붙였다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
