오늘 Microsoft는 지난 해의 사이버 보안 동향을 다루는 Microsoft Digital Defense Report 라는 새로운 연례 보고서를 발표합니다 . 이 보고서 는 공격자들이 탐지하기 어렵게 만들고 가장 똑똑한 대상까지도 위협하는 기술을 사용하여 지난 한 해 동안 공격자들의 교양이 급격히 증가했음을 분명히 합니다. 예를 들어, 국가 행위자는 고가치 표적을 손상시킬 가능성을 높이는 새로운 정찰 기술에 참여하고 있으며, 기업을 표적으로 하는 범죄 그룹은 합법적인 서비스 사이에 숨기기 위해 인프라를 클라우드로 이동했으며, 공격자는 수색하는 새로운 방법을 개발했습니다. 랜섬웨어에 취약한 시스템을 위한 인터넷.

공격이 더욱 정교해지고 있을 뿐만 아니라, 위협 행위자는 크리덴셜 수집 및 랜섬웨어로의 주목할만한 변화와 사물 인터넷(IoT) 장치에 대한 관심 증가와 함께 특정 기술에 대한 분명한 선호도를 보여주고 있습니다. 이러한 경향에 대한 가장 중요한 통계:

  • 2019년에 우리는 130억 개 이상의 악성 메일과 의심스러운 메일을 차단했으며 그 중 10억 개 이상이 피싱 자격 증명 공격을 시작하기 위해 설정된 URL이었습니다.
  • 랜섬웨어는 2019년 10월부터 2020년 7월까지 사고 대응 활동의 가장 일반적인 원인입니다.
  • 지난 1년 동안 국가 행위자가 사용한 가장 일반적인 공격 기술은 정찰, 자격 증명 수집, 멀웨어 및 VPN(가상 사설망) 익스플로잇입니다.
  • IoT 위협은 지속적으로 확장되고 진화하고 있습니다. 2020년 상반기에는 2019년 하반기에 비해 총 공격량이 약 35% 증가했습니다.

지난 해 공격의 정교함이 비약적으로 향상되었다는 점을 감안할 때 사이버 공간에 대한 새로운 규칙을 수립하기 위한 조치를 취하는 것이 그 어느 때보다 중요합니다. ; 그리고 사람들은 보안 업데이트의 정기적인 적용, 포괄적인 백업 정책, 특히 MFA(다단계 인증) 활성화를 비롯한 기본 사항에 중점을 둡니다. 우리의 데이터는 MFA를 활성화하는 것만으로도 대다수의 성공적인 공격을 막을 수 있음을 보여줍니다.

이 블로그 게시물에서는 사람과 기업에 대한 관련 제안을 포함하여 올해 보고서에서 가장 중요한 통찰력을 요약할 것입니다.

범죄 그룹은 기술을 발전시키고 있습니다.

범죄 집단은 노련하고 냉혹합니다. 그들은 다양한 피싱 미끼를 실험하거나, 실행하는 공격 유형을 조정하거나, 작업을 숨기는 새로운 방법을 찾는 등 성공률을 높이기 위해 기술을 발전시키는 데 능숙해졌습니다.

지난 몇 달 동안 우리는 사이버 범죄자들이 인간의 호기심과 정보에 대한 필요에 대항하여 잘 정립된 전술과 멀웨어를 사용하는 것을 보았습니다. 공격자들은 기회주의적이며 COVID-19 전염병 사용에서 볼 수 있듯이 뉴스 주기에 맞춰 매일 루어 테마를 전환합니다. 전체 맬웨어의 양은 시간이 지남에 따라 상대적으로 일정했지만, 공격자들은 COVID-19에 대한 전 세계적인 우려를 이용하여 우리의 집단적 불안과 팬데믹과 관련된 정보의 홍수를 둘러싼 미끼를 사회적으로 조작 했습니다. 최근 몇 달 동안 COVID-19를 주제로 한 피싱 공격의 양이 감소했습니다. 이러한 캠페인은 소비자를 광범위하게 타겟팅하는 데 사용되었을 뿐만 아니라 특히 건강 관리와 같은 필수 산업 분야를 타겟팅하는 데 사용되었습니다.

지난 몇 년 동안 사이버 범죄자들은 ​​맬웨어 공격에 집중했습니다. 보다 최근에는 사람들의 자격 증명을 수집하는 목표를 달성하기 위한 보다 직접적인 수단으로 피싱 공격(~70%)에 초점을 옮겼습니다. 사람들이 자격 증명을 포기하도록 속이기 위해 공격자는 종종 유명 브랜드를 모방한 이메일을 보냅니다. Office 365 원격 분석에 따르면 이러한 공격에 가장 많이 사용되는 스푸핑 브랜드는 Microsoft, UPS, Amazon, Apple 및 Zoom입니다.

또한 탐지를 피하기 위해 빠르게 변경되거나 변형되는 공격 캠페인을 보고 있습니다. 모핑은 발신 도메인, 이메일 주소, 콘텐츠 템플릿 및 URL 도메인 전반에 걸쳐 사용되고 있습니다. 목표는 보이지 않는 상태로 유지되도록 변형 조합을 늘리는 것입니다.

국민국가 행위자들은 목표를 변경하고 있다

민족 국가는 목표를 그들이 출신 국가에서 진화하는 정치적 목표에 맞추기 위해 이동했습니다.

Microsoft는 전 세계 COVID-19 대응 노력에 관련된 고객을 표적으로 하거나 위기를 주제로 한 미끼를 사용하여 자격 증명 도용 및 맬웨어 전달 전술을 확장하는 16개의 국가 행위자를 관찰했습니다. 이러한 COVID를 주제로 한 공격 은 네트워크 또는 사람에 대한 정찰을 수행하기 위한 노력의 일환 으로 저명한 정부 의료 기관을 대상으로 했습니다. 백신 연구에 관련된 학계 및 상업 단체도 표적이 되었습니다.

최근 몇 년 동안 중요 인프라의 취약성에 중점을 두었습니다. 우리는 경계를 유지하고 중요 인프라에 대한 보안을 지속적으로 강화해야 하며, 이러한 목표가 국가 행위자에게 계속 매력적일 것이지만, 지난 1년 동안 그러한 행위자는 주로 다른 유형의 조직에 중점을 두었습니다. 사실, 지난 1년 동안 국가 통지의 90%는 중요한 인프라를 운영하지 않는 조직에 대한 것이었습니다. 공통 목표에는 비정부 기구(NGO), 옹호 단체, 인권 단체 및 공공 정책, 국제 문제 또는 안보에 중점을 둔 싱크 탱크가 포함됩니다. 이러한 경향은 국가 행위자가 공공 정책 및 지정학에 관련된 사람들, 특히 공식 정부 정책을 형성하는 데 도움이 될 수 있는 사람들을 표적으로 삼고 있음을 시사할 수 있습니다.

우리가 추적하는 각 국가 행위자는 고유한 선호 기술을 가지고 있으며 보고서는 가장 활동적인 그룹 중 일부가 선호하는 기술을 자세히 설명합니다.

랜섬웨어가 주요 위협으로 계속 성장

국토안보부(Department of Homeland Security), FBI 등은 랜섬웨어, 특히 2020년 선거를 방해할 수 있는 잠재적인 사용에 대해 우리 모두에게 경고했습니다. 우리가 본 것은 그들이 제기한 우려를 뒷받침합니다.

암호화되고 손실된 파일과 위협적인 몸값 기록은 이제 대부분의 경영진에게 가장 큰 두려움이 되었습니다. 공격 패턴은 사이버 범죄자가 휴일과 같은 변경 동결이 있을 때 조직이 변경(패칭 등)을 수행하여 네트워크를 강화할 수 있는 능력에 영향을 줄 것임을 알고 있음을 보여줍니다. 그들은 의료, 금융 및 법률 산업의 청구 주기 동안과 같이 조직이 가동 중지 시간보다 몸값을 기꺼이 지불하도록 만드는 비즈니스 요구가 있을 때를 알고 있습니다.

공격자들은 COVID-19 위기를 악용하여 피해자의 시스템 내 체류 시간을 단축하고, 데이터 손상, 데이터 유출, 경우에 따라 신속하게 몸값을 지불하는 등 발병의 결과로 지불할 의사가 증가할 것이라고 분명히 믿고 있습니다. 어떤 경우에는 사이버 범죄자가 초기 침입에서 전체 네트워크를 45분 이내에 몸값으로 바꾸는 데 성공했습니다.

동시에 우리는 인간이 운영하는 랜섬웨어 갱단이 목적에 유리한 시간을 기다리면서 액세스를 "뱅크"하면서 취약한 진입 지점을 검색하면서 광범위하고 광범위한 인터넷 스윕을 수행하고 있음을 알 수 있습니다.

재택근무는 새로운 도전을 제시합니다

우리 모두는 COVID-19가 2019년에 이미 잘 진행되고 있는 재택 근무 추세를 가속화했다는 것을 알고 있습니다.

조직 경계 내의 기존 보안 정책은 가정 및 기타 사설 네트워크와 연결 경로의 관리되지 않는 자산으로 구성된 더 넓은 네트워크에서 시행하기가 훨씬 더 어려워졌습니다. 조직이 애플리케이션을 클라우드로 계속 이동함에 따라 사이버 범죄자들이 DDoS(분산 서비스 거부) 공격을 증가시켜 사용자 액세스를 방해하고 조직 리소스에 대한 더 악의적이고 유해한 침투를 난독화하는 것을 목격하고 있습니다.

내부자 위협 및 악의적인 행위자에 의한 사회 공학과 같은 문제를 살펴봄으로써 안전한 인력의 기본 요소인 인적 요소를 해결하는 것도 중요합니다. Microsoft가 최근 실시한 설문 조사에서 CISO의 73%는 조직에서 지난 12개월 동안 민감한 데이터 유출 및 데이터 유출을 경험했으며 COVID-19 전염병으로 인해 내부 위험 기술에 더 많은 비용을 지출할 계획이라고 밝혔습니다.

2020년 상반기 동안 엔터프라이즈 계정에 대한 무차별 대입을 사용하는 ID 기반 공격이 증가했습니다. 이 공격 기술은 체계적인 추측, 암호 목록, 이전 위반에서 덤프된 자격 증명 또는 기타 유사한 방법을 사용하여 장치 또는 서비스를 강제로 인증합니다. 암호가 추측, 피싱, 맬웨어로 도난당하거나 재사용되는 빈도를 감안할 때 사람들이 암호를 두 번째 형태의 강력한 자격 증명과 연결하는 것이 중요합니다. 조직의 경우 MFA를 활성화하는 것이 필수적인 조치입니다.

사이버 보안에 대한 커뮤니티 접근 방식이 중요합니다.

Microsoft에서는 기술, 운영, 법적 조치 및 정책을 조합하여 악의적인 활동을 방해하고 저지합니다.

예를 들어, 기술적인 조치로 Microsoft 365의 정교한 캠페인 클러스터링 인텔리전스에 투자하여 SOC(보안 운영 센터) 팀이 점점 더 복잡해지는 캠페인을 조각에서 통합할 수 있도록 합니다. 또한 법적 조치 를 통해 범죄 활동을 방해하는 등 범죄 활동을 더욱 어렵게 만들고자 노력하고 있습니다 . 악의적인 인프라를 점유하기 위한 사전 조치를 취함으로써, 악의적인 행위자는 이전에 통제되었던 다양한 자산에 대한 가시성, 능력 및 액세스 권한을 상실하여 재구축해야 합니다. 2010년부터 디지털 범죄 부서는 법 집행 기관 및 기타 파트너와 협력하여 22건의 맬웨어 중단에 대해 협력하여 사이버 범죄자로부터 5억 개 이상의 장치를 구출했습니다.

우리가 사이버 보안에 할애하는 모든 리소스에도 불구하고 우리의 기여는 문제를 해결하는 데 필요한 작은 부분일 것입니다. 이를 위해서는 정책 입안자, 비즈니스 커뮤니티, 정부 기관, 그리고 궁극적으로 개인이 실질적인 차이를 만들 수 있어야 하며 공유된 정보와 파트너십을 통해서만 상당한 영향을 미칠 수 있습니다. 이것이 우리가 2005년에 Microsoft의 보안 인텔리전스 보고서를 처음 시작한 이유 중 하나이며 이 보고서를 이 새로운 디지털 방어 보고서로 발전시킨 이유 중 하나입니다. 이 기여가 디지털 생태계의 보안을 개선하기 위해 우리 모두가 더 잘 협력하는 데 도움이 되기를 바랍니다.

https://blogs.microsoft.com/on-the-issues/2020/09/29/microsoft-digital-defense-report-cyber-threats/

댓글을 달아 주세요

 

사회공학적 기법

처음 시도는 사회공학적 기법으로 시도한 것으로 보입니다. 슬랙 계정을 통해 대화를 주고 받았다고 하니 아마도 여러가지 정보를 입수하고 난 다음 공격 타겟을 잡아 타켓팅 한 것으로 보이며, 이는 평소 직원들이 보안에 대해 얼마나 경각심을 가지고 있는지에 대한 부분도 한 몫을 한 것 같네요...

 

해커는 이 직원의 슬랙 계정을 이용해 다른 직원들과 대화를 주고받은 뒤 우버의 이메일, 클라우드 스토리지, 소스코드 저장소, 내부 금융 정보 등에 접근할 수 있었던 것으로 보인다.

 

https://www.yna.co.kr/view/AKR20220916169200072?input=1179m 

 

또 해킹당한 우버…18세 해커가 직원 메신저 통해 '재미로' 침입 | 연합뉴스

(뉴욕=연합뉴스) 강건택 특파원 = 미국 최대 차량호출 서비스 업체 우버가 또 해킹 공격을 당했다.

www.yna.co.kr

 

18세면 한창 머리가 좋을 시기임... 정보보호 영재학교에서 만난 학생중에는 중학교 2학년인데 기본적인 리눅스, 윈도우, 프로그래밍 언어, 자바까지 조금은 미흡한 부분이 있긴 했지만 굉장히 잘하는 나이 어린 학생들이 많이 있구나 하는 것을 보았습니다.

주식 개장 전에 이런 발표가 나서 주가에도 영향을 미친것으로 보입니다. 아무래도 요즘은 해킹을 당했다고 하면 그 안에는 데이터 및 개인정보 그리고 소스코드까지 유출 되었을 가능성을 열어 놓고 보기 때문에 부정적 시그널이 됩니다. 

기업이 보안에 투자를 해야 하는 지점인 셈이죠...

https://news.g-enews.com/ko-kr/news/article/news_all/202209170102135930be84d87674_1/article.html?md=20220917060932_U 

 

[뉴욕 e종목] 우버 "해킹 조사 중"...주가 3.6% 급락

미국 차량공유업체 우버가 16일(현지시간) 해킹을 조사중이라고 밝혀 주가가 큰 폭으로 하락했다.우버는 이날 트윗에서 "현재 사이버보안 사건에 관해 대응하고 있다"면서 "사법당국과 접촉 중

news.g-enews.com

그래도 아무리 사회공학적 기법으로 뚫었다 하더라도 외부에서 접근 할 때에는 여러가지 인증 절차와 TFA 등 다양한 인증을 거치는 것이 상식적인데 어떤식으로 접근 했는지 궁금한 부분입니다. 

실리콘벨리에서 잘 알려진 기업이 해킹 당했다는 이슈는 시사하는 바가 큽니다. 3줄로  정리해 보면 

  •  유명한 스타트업 기업들이 생각보다 보안에 투자하지 않은다.
  • 해킹을 당하는 것은 상장사의 경우에는 주가에 많은 영향을 미친다. 
  • 기술적 방어라 하더라도 사회공학적 기법이 아직도 많이 사용이 된다.

 

 

 

 

댓글을 달아 주세요