[데일리시큐]해커그룹 UNC6040, 보이스피싱으로 세일즈포스 침해…"사용자 신뢰 악용한 신종 사회공학 공격"

뉴스 요약

구글 위협 인텔리전스 그룹(GTIG)은 사이버 범죄 조직 UNC6040이 보이스 피싱을 통해 Salesforce 인스턴스에 침투, 데이터를 탈취한 사건을 다수 발견했습니다. 기술적 취약점 공격이 아닌, 사용자 신뢰를 악용한 사회공학적 공격으로 유럽 및 미주 지역 약 20개 기업이 피해를 입었습니다. 공격자는 IT 지원팀을 사칭하여 사용자 계정에 접근, 커넥티드 앱을 변조하고 MFA를 우회하는 등의 수법을 사용했습니다.

핵심 포인트

• UNC6040은 기술적 취약점이 아닌 사회공학적 기법인 보이스피싱을 이용.
• Salesforce의 커넥티드 앱 기능을 악용하여 데이터 탈취.
• 다단계 인증(MFA) 우회.
• 유럽과 미주 지역의 다양한 산업(관광, 교육, 유통 등)의 약 20개 기업이 피해.
• IT 지원팀 사칭이 주요 공격 방식.

기술 세부 내용

1️⃣ Salesforce Connected Apps

• Salesforce Connected Apps는 Salesforce 플랫폼과 외부 애플리케이션을 연결하는 표준 OAuth 기반 프레임워크입니다.
• 사용자 인증, API 액세스 권한 부여, 데이터 교환 등을 가능하게 합니다.
• UNC6040은 정상적인 Connected App을 악성 앱으로 변조하거나 새로운 악성 앱을 생성하여 Salesforce 데이터에 접근했습니다.
• 이를 통해 Salesforce API를 악용하여 데이터를 탈취하고 추가적인 권한을 획득했을 가능성이 높습니다.

2️⃣ Multi-Factor Authentication (MFA) Bypass

• MFA는 사용자 계정 보안을 강화하는 중요한 기술입니다. 비밀번호 외에도 OTP, 생체 인증 등 추가적인 인증 요소를 요구합니다.
• UNC6040은 MFA를 우회하기 위한 다양한 기술을 사용했을 것으로 추정됩니다.
  • 피싱을 통해 MFA 코드를 탈취.
  • MFA 설정 변경. ⚙️
  • MFA 우회 취약점 악용.
• MFA가 설정되어 있더라도 사회공학적 공격에는 취약할 수 있음을 보여줍니다.

3️⃣ Social Engineering & Voice Phishing

• Social Engineering은 사람의 심리를 이용하여 정보를 탈취하거나 특정 행동을 유도하는 공격 기법입니다.
• Voice Phishing(보이스 피싱)은 전화를 이용한 Social Engineering 공격의 한 유형입니다.
• UNC6040은 IT 지원팀을 사칭하여 사용자에게 접근, 계정 정보나 MFA 코드를 탈취했을 것으로 예상됩니다.
• 이는 기술적 방어보다 사용자 교육 및 보안 인식 제고가 중요함을 시사합니다. ‍

4️⃣ Google Threat Intelligence Group (GTIG)

• GTIG는 Google의 보안 전문가 팀으로, 사이버 위협을 분석하고 이에 대한 정보를 공유하여 사용자를 보호합니다. ️
• 이번 UNC6040 공격 분석 및 공개를 통해 기업들의 보안 강화를 촉구하고 있습니다.

5️⃣ UNC6040

• UNC6040은 Salesforce 환경을 대상으로 공격하는 사이버 범죄 조직입니다.
• 이들의 공격은 정교하고 지속적이며, 사회공학적 기법과 기술적 수단을 결합하여 높은 성공률을 보입니다.
• 기업들은 UNC6040과 같은 조직의 공격에 대비하여 보안 태세를 강화해야 합니다.

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=166682