728x90
반응형
내용 요약
세 개의 악명 높은 해커 조직—LAPSUS$, ShinyHunters, Scattered Spider—가 연합해 “트리니티 오브 카오스”를 결성했으며, 최근 은퇴 선언을 했으나 보안 업계는 이는 사기일 가능성이 높다고 경고한다. 한국 기업도 이러한 공격 패턴에 대비해야 한다.
핵심 포인트
- 삼자 연합의 탄생: 각기 다른 배경과 공격 방식을 가진 APT 그룹이 결합해 범용 위협을 가중시켰다.
- ‘은퇴 선언’의 불확실성: 공개된 은퇴 발표가 실제 해체인지, 단순한 PR인지 판단이 어려우며, 지속적인 모니터링이 필요하다.
- 한국 기업의 대비책: 다층 보안 전략(보안 인식 교육, 멀티팩터 인증, EDR/EDR 통합 등)을 강화해야 한다.
기술 세부 내용
1️⃣ Credential Theft (T1078 Valid Accounts)
- 악성 파일 삽입
- 공격자는 사내 인트라넷에 악성 스크립트 또는 도구(예: Mimikatz)를 업로드한다.
- 권한 상승
runas혹은PsExec를 이용해 관리자 권한으로 실행된다.
- 암호 수집
- 도구가 메모리에서 암호를 덤프하거나 NTDS.dit 파일을 복제한다.
- 외부 전송
- 수집된 자격 증명을 암호화한 뒤 외부 C2(커맨드 & 컨트롤) 서버로 전송한다.
- 세션 가로채기
- 탈취한 자격 증명을 이용해 LDAP, RDP, SMB 세션을 가로챈다.
2️⃣ Phishing & Social Engineering (T1566)
- 목표 선정
- 내부자 데이터베이스에서 핵심 직원(IT 관리자, CFO 등)을 분석한다.
- 전송 매체 준비
- 정식 도메인(예:
finance@company.com)과 유사한 스푸핑 이메일을 생성한다.
- 정식 도메인(예:
- 피싱 메시지 작성
- 최신 보안 인시던트(예: 패치 알림)와 결합해 긴급성을 부여한다.
- 악성 링크/첨부 삽입
- URL 단축 서비스(예:
bit.ly)를 통해 메타 공격 페이지를 연결하거나, 악성 매크로가 삽입된 DOC 파일을 첨부한다.
- URL 단축 서비스(예:
- 피해자 행동 유도
- 클릭 시 악성 스크립트가 실행돼 백도어 설치 또는 키로깅이 진행된다.
- 피해 확산
- 내부망에서 자동으로 전파(예: SMB 스캔)하거나, 사내 메신저를 통해 확산 시도한다.
Tip:
- E-mail 필터링 → SPF, DKIM, DMARC 활성화
- 사용자 교육 → 시뮬레이션 훈련과 정기적 리마인더
- 멀티팩터 인증(MFA) → 특히 관리자 계정에 적용
Actionable:
1. 현재 자격 증명 관리 정책 점검 (Password Vault, Least Privilege)
2. 정기적인 보안 인식 훈련과 피싱 테스트 실행
3. EDR/EDR 플랫폼으로 의심 행위 실시간 탐지 설정
본 문서는 1500자 이내로 핵심 기술과 대응 방안을 정리한 것이며, 실제 환경에서는 기업 정책과 규정에 맞게 추가 보완이 필요합니다.
출처: https://www.dailysecu.com/news/articleView.html?idxno=201005
728x90
반응형
SMALL
'보안이슈' 카테고리의 다른 글
| [데일리시큐]중앙·남아시아 통신·제조업 노린 변종 악성코드 공격…중국 연계 해킹그룹 정황 드러나 (0) | 2025.09.29 |
|---|---|
| [데일리시큐]중국 해킹그룹, 지원 종료된 방화벽 제로데이 공격…국가 기관 타깃 공격 정황 (0) | 2025.09.29 |
| [보안뉴스]국가AI전략위 ‘AI인프라 거버넌스·혁신 TF’ 구성...국정자원 화재 대응 방안 마련 (0) | 2025.09.29 |
| [데일리시큐]아키라 랜섬웨어, 소닉월 SSL VPN 침투…OTP MFA까지 뚫렸다 (0) | 2025.09.29 |
| [보안뉴스][국정자원 화재] 전자출원 서비스, 정상 운영...일부 장애 완전 복구 (0) | 2025.09.29 |