옥타 크리덴셜 노리는 공격자들, 수준 낮은 공격 기법으로 광범위한 피해 일으켜

요약 : 이번 달 초 트윌리오(Twilio)와 클라우드플레어(Cloudflare)를 해킹한 범죄 단체가 사실 전 세계 136개 조직들을 공격했고, 총 9931개의 계정들을 침해한 것으로 밝혀졌다. 보안 외신 해커뉴스에 따르면 이 단체에는 옥타퍼스(0ktapus)라는 이름이 붙었고, 그 이유는 이들이 옥타(Okta)의 아이덴티티 크리덴셜과 다중 인증 코드를 훔치려 했기 때문이라고 한다. 어떤 조직을 노리든 옥타 계정을 가지고 있거나 관리하고 있는 직원을 노려서 공격했다고 보안 업체 그룹IB(Group-IB)가 밝혔다. 옥타 인증 페이지와 똑같이 생긴 피싱 페이지로 연결되는 링크를 피해자에게 문자 메시지로 전달하는 수법이 주로 사용됐다. 


배경 : 현재까지 이러한 피싱 공격을 위해 공격자들이 준비한 도메인이 169개 발견됐다. 미국과 관련된 것이 114개로 가장 많았고, 인도가 4, 캐나다가 3, 프랑스가 2, 스웨덴이 2, 호주가 1개였다. 주요 표적은 소프트웨어 회사인 것으로 집계되고 있다. 하지만 통신사, 금융, 교육, 도소매, 물류 분야에서도 피해가 있었다.

말말말 : “공격자들이 사용한 수법이나 전략은 상당히 수준이 저조한 것이었습니다. 그럼에도 피해 규모는 광범위했죠. 목적 달성을 위해 고차원적인 공격만 해야 하는 건 아니라는 뜻이죠.” -그룹IB-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>