최전선에서의 사이버 범죄 관찰: UNC6040의 선제적... 노트

최전선에서의 사이버 범죄 관찰: UNC6040의 선제적 강화 권장 사항

UNC6040은 데이터 도난 및 갈취를 위해 Salesforce를 침해하는 보이스 피싱을 사용하는 위협 그룹입니다. 이들은 IT 지원팀을 사칭하여 직원들을 속여 접근 권한을 부여하거나 자격 증명을 공유하도록 유도합니다. 일반적인 전술에는 사용자가 Salesforce의 악성 수정 버전인 Data Loader를 승인하도록 설득하는 것이 포함됩니다.이 승인되지 않은 앱을 통해 공격자는 민감한 Salesforce 데이터에 액세스하고, 쿼리하고, 유출할 수 있습니다. 갈취 시도는 때때로 몇 달 후에 발생하며, 공격자는 ShinyHunters와 연관되어 있다고 주장합니다. UNC6040은 종종 Mullvad VPN을 사용하여 운영하며, 높은 SaaS 접근 권한을 가진 사용자를 대상으로 합니다.이러한 공격에 대응하기 위해 조직은 지원 요청에 대해 강력하고 다층적인 신원 확인을 구현해야 합니다. 여기에는 실시간 영상 증명 및 고위험 변경에 대한 아웃 오브 밴드 확인이 포함됩니다. 제3자 공급업체 요청의 경우, 헬프 데스크는 신뢰할 수 있는 연락처 정보를 통해 공급업체를 독립적으로 확인해야 합니다.최종 사용자는 모든 제3자 요청을 철저히 확인하고 의심스러운 통신을 보고하도록 교육받아야 합니다. 조직은 Entra ID 또는 Okta와 같은 중앙 신원 공급자를 통해 통합 신원 보안 제어를 시행해야 합니다. 여기에는 피싱 방지 다단계 인증 및 장치 신뢰 정책 구현이 포함됩니다.모든 SaaS 애플리케이션 액세스에 대해 싱글 사인온(SSO)을 의무화해야 하며, 플랫폼 네이티브 계정은 비상 시에만 사용해야 합니다. FIDO2 키와 같은 피싱 방지 MFA는 SaaS 애플리케이션에 액세스하는 모든 사용자에게 중요합니다. 장치 규정 준수 검사는 안전한 장치만 회사 애플리케이션에 액세스할 수 있도록 보장합니다.
CdXz5zHNQW_i3M3Pp434Y.png