보이스피싱을 통한 접근: ShinyHunters 브랜드의 SaaS 데이터 탈취 확장 추적

Mandiant는 ShinyHunters의 갈취 작전과 일치하는 위협 활동 증가를 관찰했습니다. 이 공격자들은 정교한 보이스 피싱 및 가짜 자격 증명 수집 사이트를 사용하여 단일 로그인 및 다단계 인증 자격 증명을 훔칩니다. 액세스 권한을 획득하면 클라우드 기반 SaaS 애플리케이션을 대상으로 민감한 데이터를 유출하여 갈취합니다. Google 위협 인텔리전스 그룹은 UNC6661, UNC6671, UNC6240을 포함한 여러 위협 클러스터에서 이 활동을 추적하고 있습니다. ID 공급업체 및 SaaS 플랫폼을 대상으로 하는 방법론은 진화하고 있으며, 침해되는 클라우드 플랫폼의 범위가 확장되고 있습니다. 최근 사건은 피해자 직원에 대한 괴롭힘까지 확대되었습니다. 이 활동은 보안 취약점이 아닌 사회 공학을 악용하며, 피싱 방지 다단계 인증의 필요성을 강조합니다. UNC6661은 특히 IT 직원을 사칭하여 직원들이 자격 증명 및 MFA 코드를 공개하도록 속였습니다. 초기 액세스 후 UNC6661은 SharePoint, Salesforce, DocuSign과 같은 다양한 SaaS 플랫폼에서 데이터를 유출하기 위해 측면으로 이동했습니다. 일부 경우 ToogleBox Recall과 같은 도구를 사용하여 활동 증거를 삭제했습니다. UNC6240에 기인한 갈취 활동에는 데이터 유출, 랜섬 요구, 심지어 SMS 괴롭힘까지 포함되었습니다. UNC6671은 도메인 등록 및 갈취 전술에 일부 차이가 있었지만 유사한 보이스 피싱 작전을 수행했습니다. 공격자들은 갈취를 위해 더 민감한 데이터를 수집하기 위해 작전을 개선하고 있으며, 최근 활동은 개인에게도 잠재적인 초점을 보여주고 있습니다.