0mega 랜섬웨어 그룹은 손상된 엔드포인트를 사용할 필요 없이 회사의 SharePoint Online 환경에 대한 갈취 공격을 성공적으로 수행했습니다. 이는 이러한 공격이 일반적으로 전개되는 방식입니다. 대신 위협 그룹은 보안이 취약한 관리자 계정을 사용하여 익명의 회사 환경에 침투하고 권한을 높인 다음 결국 피해자의 SharePoint 라이브러리에서 민감한 데이터를 빼낸 것으로 보입니다. 이 데이터는 피해자가 몸값을 지불하도록 강탈하는 데 사용되었습니다.
최초의 공격 가능성
이 공격은 랜섬웨어 위협을 해결하기 위한 대부분의 기업 노력이 엔드포인트 보호 메커니즘에 집중하는 경향이 있기 때문에 주목할 만합니다. 공격을 발견했습니다.
Chisholm은 “기업들은 전적으로 엔드포인트 보안 투자를 통해 랜섬웨어 그룹 공격을 예방하거나 완화하려고 노력해 왔습니다. "이 공격은 엔드포인트 보안이 충분하지 않다는 것을 보여줍니다. 현재 많은 회사가 SaaS 애플리케이션에 데이터를 저장하고 액세스하고 있기 때문입니다."
Obsidian이 관찰한 공격은 0mega 그룹 공격자가 피해자 조직의 Microsoft 글로벌 관리자 중 한 명의 보안이 취약한 서비스 계정 자격 증명을 획득하는 것으로 시작되었습니다. 유출된 계정은 공용 인터넷에서 액세스할 수 있었을 뿐만 아니라 다단계 인증(MFA)이 활성화되지 않았습니다. 대부분의 보안 전문가는 특히 권한이 있는 계정의 경우 기본적인 보안 필요성에 동의합니다.
위협 행위자는 손상된 계정을 사용하여 다소 뻔뻔스럽게도 "0mega"라고 하는 Active Directory 사용자를 생성한 다음 새 계정에 환경을 혼란에 빠뜨리는 데 필요한 모든 권한을 부여했습니다. 여기에는 전역 관리자, SharePoint 관리자, Exchange 관리자 및 팀 관리자가 될 수 있는 권한이 포함됩니다. 추가적인 좋은 측정을 위해 공격자는 손상된 관리자 자격 증명을 사용하여 조직의 SharePoint Online 환경 내에서 소위 사이트 모음 관리자 기능을 0mega 계정에 부여하고 다른 모든 기존 관리자를 제거했습니다.
SharePoint 언어에서는 사이트 모음은 웹 사이트 그룹입니다. 관리 설정을 공유하고 소유자가 같은 웹 응용 프로그램 내에서. 사이트 모음 더 흔한 경향이 있습니다 여러 비즈니스 기능과 부서가 있는 대규모 조직 또는 매우 큰 데이터 세트가 있는 조직 간에.
Obsidian이 분석한 공격에서 0mega 공격자는 손상된 관리자 자격 증명을 사용하여 200시간 내에 약 XNUMX개의 관리자 계정을 제거했습니다.
자체 할당된 권한으로 무장한 공격자는 조직의 SharePoint Online 라이브러리에서 수백 개의 파일을 가져와 러시아의 웹 호스팅 회사와 연결된 VPS(가상 사설 서버) 호스트로 보냈습니다. 유출을 용이하게 하기 위해 공격자는 무엇보다도 개발자가 HTTP 요청을 사용하여 SharePoint 리소스와 상호 작용할 수 있도록 하는 "sppull"이라는 공개적으로 사용 가능한 Node.js 모듈을 사용했습니다. 관리자가 모듈에 대해 설명했듯이 sppull은 "SharePoint에서 파일을 가져오고 다운로드하는 간단한 클라이언트"입니다.
유출이 완료되면 공격자는 "라는 또 다른 node.js 모듈을 사용했습니다.있어” 방금 일어난 일을 기본적으로 조직에 알리는 수천 개의 텍스트 파일을 피해자의 SharePoint 환경에 업로드합니다.
끝점 손상 없음
일반적으로 SaaS 애플리케이션을 대상으로 하는 공격에서 랜섬웨어 그룹은 엔드포인트를 손상시킨 다음 필요에 따라 측면 이동을 활용하여 파일을 암호화하거나 유출한다고 Chisholm은 말합니다. "이 경우 공격자는 손상된 자격 증명을 사용하여 SharePoint Online에 로그인하여 새로 생성된 계정에 관리 권한을 부여한 다음 VDSinra.ru에서 제공하는 임대 호스트의 스크립트를 사용하여 새 계정에서 데이터 유출을 자동화했습니다." 공격자는 엔드포인트를 손상시키거나 랜섬웨어 실행 파일을 사용하지 않고 전체 공격을 실행했습니다. "우리가 아는 한, 이것은 자동화된 SaaS 랜섬웨어 강탈이 발생한 최초의 공개 기록 사례입니다."라고 그는 말합니다.
Chisholm은 Obsidian이 지난 XNUMX개월 동안 엔터프라이즈 SaaS 환경을 대상으로 한 공격을 지난 XNUMX년을 합친 것보다 더 많이 관찰했다고 말했습니다. 증가하는 공격자 관심의 대부분은 조직이 엔드포인트 기술에서와 동일한 종류의 제어를 구현하지 않고 규제, 기밀 및 기타 민감한 정보를 SaaS 애플리케이션에 점점 더 많이 넣고 있다는 사실에서 비롯된다고 그는 말합니다. "이것은 우리가 악의적인 행위자에게서 보고 있는 최신 위협 기술일 뿐입니다."라고 그는 말합니다. "조직은 전체 SaaS 환경에서 적절한 사전 위험 관리 도구를 준비하고 준비해야 합니다."
다른 사람들도 비슷한 추세를 관찰했다고 보고했습니다. AppOmni에 따르면 SaaS 공격 300% 증가 Salesforce 커뮤니티 사이트 및 기타 SaaS 애플리케이션에서 1년 2023월 48일부터. 주요 공격 벡터에는 과도한 게스트 사용자 권한, 과도한 개체 및 필드 권한, MFA 부족, 민감한 데이터에 대한 과도한 권한 액세스가 포함됩니다. Odaseva가 작년에 실시한 연구에 따르면 응답자의 12%가 자신의 조직이 지난 XNUMX개월 동안 랜섬웨어 공격을 경험했으며 SaaS 데이터가 대상이었습니다. 공격의 절반 이상(51%)에서 발생했습니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- EVM 금융. 탈중앙화 금융을 위한 통합 인터페이스. 여기에서 액세스하십시오.
- 퀀텀미디어그룹. IR/PR 증폭. 여기에서 액세스하십시오.
- PlatoAiStream. Web3 데이터 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/cloud/researchers-report-first-instance-of-automated-saas-ransomware-extortion
- :있다
- :이다
- :아니
- 1
- 12
- 12 개월
- 200
- 2023
- 7
- a
- ACCESS
- 얻기 쉬운
- 액세스
- 에 따르면
- 계정
- 계정
- 가로질러
- 활동적인
- 배우
- 추가
- 주소
- 관리자
- 관리
- 관리자
- 반대
- All
- 수
- 또한
- 중
- an
- 분석
- 및
- 다른
- 등장하다
- 어플리케이션
- 어플리케이션
- 있군요
- AS
- 관련
- At
- 공격
- 공격
- 주의
- 인증
- 자동화
- 가능
- 나쁜
- 기본
- 원래
- BE
- 때문에
- 된
- 시작
- BEST
- 사업
- 비즈니스 기능
- by
- 라는
- 기능
- 케이스
- 클라이언트
- 공동 설립자
- 수집
- 컬렉션
- 결합 된
- 커뮤니티
- 기업
- 회사
- 완전한
- 타협
- 손상된
- 손상
- 실시
- 컨트롤
- 만들
- 만든
- 신임장
- 신임장
- 데이터
- 데이터 세트
- 부서
- 설명
- 개발자
- DID
- 다운로드
- 노력
- 올리다
- 사용 가능
- 종점
- 엔드 포인트 보안
- 충분히
- 확인
- Enterprise
- 전체의
- 전적으로
- 환경
- 환경
- 특히
- 있을뿐만 아니라
- 교환
- 처형 된
- 압출
- 현존하는
- 경험
- 전문가
- 강요
- 용이하게하다
- 사실
- 들
- 파일
- 굳은
- 먼저,
- 초점
- 럭셔리
- 에
- 기능
- 글로벌
- 좋은
- 부여
- 부여
- 그룹
- 여러 떼
- 성장하는
- 손님
- 했다
- 반
- 일이
- 있다
- he
- 도움
- 주인
- 호스팅
- 방법
- HTTP
- HTTPS
- 수백
- 구현
- in
- 포함
- 더욱 더
- 정보
- 정보
- 예
- 를 받아야 하는 미국 여행자
- 상호 작용하는
- 관심
- 인터넷
- 으로
- 투자
- Isn
- IT
- 그
- JPG
- 다만
- 종류
- 지식
- 결핍
- 넓은
- 성
- 작년
- 최근
- 레버리지
- 도서관
- 기록
- 구축
- 관리 도구
- .
- Mar
- 1월 XNUMX
- 측정
- 메커니즘
- MFA
- Microsoft
- 완화
- 모듈
- 개월
- 배우기
- 가장
- 운동
- 많은
- 여러
- 필요한
- 필요
- 필요
- 필요
- 신제품
- 새로운
- 노드
- Node.js를
- 지금
- 대상
- 획득
- 발생하는
- of
- 오프
- on
- ONE
- 온라인
- 만
- or
- 조직
- 조직
- 기타
- 우리의
- 위에
- 소유자
- 지불
- 기간
- 권한
- 장소
- 플라톤
- 플라톤 데이터 인텔리전스
- 플라토데이터
- 준비
- 예방
- 너무 이른
- 일차
- 사설
- 특권
- 권한
- 사전
- 보호
- 제공
- 공개
- 공개적으로
- 입고
- 몸값
- 랜섬
- 랜섬웨어 공격
- RE
- 기록
- 규제
- 제거
- 신고
- 보고
- 요청
- 연구원
- 제품 자료
- 응답자
- 연락해주세요
- 위험
- 위험 관리
- RU
- 러시아
- s
- SaaS는
- 영업
- 같은
- 속담
- 라고
- 스크립트
- 보안
- 보안
- 보고
- 민감한
- 전송
- 서비스
- 설정
- 설정
- 공유
- 쇼
- 비슷한
- 단순, 간단, 편리
- 이후
- 대지
- 사이트
- SIX
- 여섯 달
- 일부
- 무언가
- 약간
- 유래
- 저장
- 교육과정
- 성공적으로
- 대상
- 팀
- 기술
- 보다
- 그
- XNUMXD덴탈의
- 그들의
- 그들
- 그들 자신
- 그때
- 그곳에.
- Bowman의
- 그들
- 일
- 이
- 수천
- 위협
- 위협 행위자
- 을 통하여
- 에
- 검색을
- 경향
- 두
- 이름 없음
- 사용
- 익숙한
- 사용자
- 사용
- 보통
- 대단히
- 희생자
- 온라인
- 였다
- we
- 웹
- 웹 응용 프로그램
- 뭐
- 어느
- 모든
- 과
- 이내
- 없이
- year
- 년
- 제퍼 넷