LAPSUS$ 갈취 그룹은 Microsoft, NVIDIA 및 Okta, 그리고 사이버 범죄에 대한 자유분방하고 분산된 접근 방식으로 악명이 높습니다.
그러나 연구원들은 그룹이 사라지지 않을 가능성이 있으며 어떤 경우에도 "뻔뻔한" 전술이 유산을 남길 수 있다고 말했습니다.
노출 관리 전문가 Tenable의 새로운 보고서는 DDoS(분산 서비스 거부) 공격 및 웹사이트 기물 파손에서 보다 정교한 방법에 이르기까지 그룹의 배경과 사용된 TTP(전술, 기술 및 절차)에 대해 자세히 설명합니다. 여기에는 소셜 엔지니어링 기술을 사용하여 사용자 암호를 재설정하고 MFA(다단계 인증) 도구를 선택하는 것이 포함됩니다.
"변칙적인 행동과 충족될 수 없는 기이한 요구로 특징지어지며, 한때 그룹은 해킹 대상을 비난하기도 했습니다. 사이버 보안 뉴스 사이클의 최전선에서 LAPSUS$ 그룹의 임기는 혼란스러웠습니다." 보고서 메모.
혼돈, 계획의 논리 부족
Tenable의 선임 연구원인 Claire Tills는 "LAPSUS$를 '작은 펑크 록'이라고 부를 수는 있지만 나쁜 배우가 그렇게 멋지게 들리도록 하지 않으려고 합니다."라고 말합니다. "공격에 대한 그들의 혼란스럽고 비논리적인 접근 방식은 사건을 예측하거나 준비하는 것을 훨씬 어렵게 만들었고 종종 수비수를 뒷걸음질쳤습니다."
그녀는 아마도 그룹의 분산된 구조와 크라우드소싱된 결정으로 인해 대상 프로필이 도처에 있으며, 이는 조직이 LAPSUS$와 같은 행위자들과 함께 "우리는 흥미로운 대상이 아닙니다"라는 관점에서 운영할 수 없음을 의미한다고 설명합니다.
Tills는 위협 그룹이 사라졌는지, 브랜드가 바뀌었는지, 아니면 일시적으로 휴면 상태인지 말하기가 항상 어렵다고 덧붙입니다.
그녀는 "자신을 LAPSUS$로 규정한 그룹이 다른 피해자를 주장하는지 여부에 관계없이 조직은 이러한 유형의 행위자에 대해 귀중한 교훈을 배울 수 있습니다."라고 말합니다. "LAPSUS$의 짧고 떠들썩한 경력에서 영감을 받은 다른 갈취 전용 그룹이 최근 몇 달 동안 두각을 나타냈습니다."
보고서에 언급된 바와 같이, 갈취 그룹은 클라우드 환경을 표적으로 삼을 가능성이 높으며, 여기에는 종종 갈취 그룹이 찾는 중요하고 민감한 정보가 포함되어 있습니다.
Tills는 "또한 공격자가 이러한 정보에 더 낮은 권한으로 액세스할 수 있도록 하는 방식으로 잘못 구성되는 경우가 많습니다."라고 덧붙입니다. "조직은 클라우드 환경이 최소 권한 원칙으로 구성되었는지 확인하고 의심스러운 행동에 대한 강력한 모니터링을 시행해야 합니다."
그녀는 많은 위협 행위자들과 마찬가지로 사회 공학이 여전히 강탈 집단의 신뢰할 수 있는 전술이며 많은 조직이 취해야 할 첫 번째 단계는 그들이 표적이 될 수 있다고 가정하는 것이라고 말합니다.
"그 후에는 다단계 및 암호 없는 인증과 같은 강력한 관행이 중요합니다."라고 그녀는 설명합니다. "또한 조직은 특히 가상 사설망 제품, 원격 데스크톱 프로토콜 및 Active Directory에서 알려진 악용 취약점을 지속적으로 평가하고 수정해야 합니다."
그녀는 초기 액세스가 일반적으로 사회 공학을 통해 달성되었지만 레거시 취약점은 위협 행위자가 찾을 수 있는 가장 민감한 정보에 액세스하기 위해 권한을 높이고 시스템을 가로질러 이동할 때 매우 중요하다고 덧붙였습니다.
LAPSUS$ 회원은 여전히 활동 중일 가능성이 높습니다.
LAPSUS$가 몇 달 동안 조용했다고 해서 그룹이 갑자기 없어진 것은 아닙니다. 사이버 범죄 그룹은 스포트라이트를 피하고, 새로운 구성원을 모집하고, TTP를 개선하기 위해 종종 어두워집니다.
Intel 471 Shared Services의 인텔리전스 디렉터인 Brad Crompton은 "LAPSUS$라는 이름의 악명을 떨치기 위한 노력의 일환으로 다른 이름으로 LAPSUS$가 다시 등장하는 것을 보고 놀라지 않을 것입니다."라고 말했습니다.
그는 LAPSUS$ 그룹 회원이 체포되었지만 그룹의 커뮤니케이션 채널은 계속 운영될 것이며 많은 기업이 한때 그룹과 제휴한 위협 행위자의 표적이 될 것이라고 믿고 있다고 설명합니다.
"또한 우리는 이전 LAPSUS$ 그룹 구성원이 새로운 TTP를 개발하거나 잠재적으로 신뢰할 수 있는 그룹 구성원과 그룹의 파생물을 만드는 것을 볼 수 있습니다."라고 그는 말합니다. "그러나 이들은 공개 그룹이 아닐 가능성이 있으며 아마도 이전 그룹과 달리 더 높은 수준의 운영 보안을 제정할 것입니다."
주요 동기로서의 돈
크라우드소싱 사이버 보안 제공업체인 Bugcrowd의 설립자이자 CTO인 Casey Ellis는 사이버 범죄자는 돈에 의해 동기가 부여되는 반면 국가는 국가 목표에 의해 동기가 부여된다고 설명합니다. 따라서 LAPSUS$는 규칙에 따라 작동하지 않지만 그 동작은 어느 정도 예측할 수 있습니다.
"제 생각에 가장 위험한 측면은 대부분의 조직이 합리적으로 잘 정의된 정의와 목표를 가진 위협 행위자를 기반으로 하는 대칭적인 방어 전략을 개발하는 데 지난 XNUMX년 이상을 보냈다는 것입니다."라고 그는 말합니다. "혼란스러운 위협 행위자가 믹스에 도입되면 게임이 기울어지고 비대칭이 됩니다. LAPSUS$ 및 기타 유사한 행위자에 대한 저의 주요 우려는 방어자가 꽤 오랫동안 이러한 유형의 위협에 대해 실제로 준비하지 않았다는 것입니다."
그는 LAPSUS$가 초기 발판을 마련하기 위해 사회 공학에 크게 의존하므로 인적 교육 및 기술 통제 수준 모두에서 사회 공학 위협에 대한 조직의 준비 상태를 평가하는 것은 신중한 예방 조치라고 지적합니다.
Ellis는 LAPSUS$와 Anonymous/Antisec/Lulzsec의 명시된 목표는 매우 다르지만 미래에는 위협 행위자로서 비슷하게 행동할 것이라고 믿습니다.
그는 2010년대 초 Anonymous의 진화로 인해 다양한 하위 그룹과 배우가 두각을 나타냈다가 사라지고 성공적인 기술을 복제하고 두 배로 축소한 다른 그룹으로 대체되었다고 말했습니다.
"LAPSUS$가 완전히 그리고 영원히 사라졌을 수도 있습니다. 하지만 수비수로서 저는 이러한 유형의 혼란스러운 위협에 대한 기본 방어 전략으로 이것을 의존하지 않을 것입니다."
