이달 초 Twilio에 침입한 해커는 10,000명에 가까운 직원의 자격 증명을 훔친 해킹 중에 130개 이상의 조직에 침입했습니다.

Twilio의 최근 네트워크 침입으로 해커는 125개의 Twilio 고객 및 기업 데이터(엔드 투 엔드 암호화된 메시징 앱 Signal 포함)에 액세스할 수 있었습니다. Twilio의 IT 부서에서 왔습니다. 당시 TechCrunch는 미국 인터넷 기업, IT 아웃소싱 회사, 고객 서비스 제공업체 등 다른 회사의 스푸핑 피싱 페이지에 대해 알았지만 캠페인 규모는 알 수 없었습니다.

현재 사이버 보안 회사의 Group-IB는 Twilio에 대한 공격이 회사가 ‘0ktapus’라고 부르는 해킹 그룹의 광범위한 캠페인의 일부라고 말합니다.

Group-IB는 고객 중 하나가 연결된 피싱 공격의 표적이 된 후 조사를 시작했습니다. 공격자는 3 월 이후 최소 9,931 명의 사용자 자격 증명을 훔치고 그 절반 이상으로 기업 네트워크에 액세스합니다. 하는 데 사용되는 다중 요소 인증 코드가 포함되었습니다.

Group-IB의 고급 위협 인텔리전스 분석가인 Roberto Martinez는 TechCrunch에게 다음과 같이 말합니다. “이 경우에는 Okta 인증을 사용하는 사이트에서 합법적으로 사용하는 이미지가 피싱 키트에서 사용되는 것으로 나타났습니다.”

“피싱 키트의 사본을 찾은 후 위협을 더 잘 이해하기 위해 더 깊이 파고 들기 시작했습니다. “추출하고 추가 분석을 할 수 있음이 분명해졌습니다.”라고 Martinez는 말합니다.

해커가 어떻게 전화 번호와 직원의 이름을 얻고 SMS 피싱 메시지를 보냈는지 아직 모르겠지만 Group-IB는 공격자가 먼저 휴대 전화 회사와 통신 회사를 타겟팅하고 “이 첫 번째 공격에서 번호를 수집했을 수 있습니다.”

Group-IB는 피해를 입은 기업의 이름을 밝히지 않았지만 목록에는 ‘친숙한 조직’이 포함되어 있으며 대부분 IT, 소프트웨어 개발 및 클라우드 서비스를 제공합니다. 라고 말했습니다. TechCrunch가 공유한 피해자의 내역에 따르면 공격자는 금융 업계의 13개 조직, 7개의 소매 업체 및 2개의 비디오 게임 조직도 표적으로 했다.

Group-IB는 조사 도중 해커의 피싱 키트 코드가 침해된 데이터를 삭제하기 위해 공격자가 사용한 Telegram 봇 구성의 세부 사항을 밝혔다는 것을 발견했습니다. (Cloudflare는 해커가 Telegram을 사용하는 것을 처음으로 밝혔습니다.) Group-IB는 Telegram 그룹의 관리자 중 한 명이 핸들 이름 “X”를 사용하고 있음을 확인했습니다.

Group-IB는 공격이 사전 엔드 투 엔드에서 계획되었는지 아니면 각 단계에서 기회적 행동이 취해졌는지는 아직 분명하지 않다고 말합니다. “어쨌든, 0ktapus 캠페인은 놀라운 성공을 거두었으며, 그 전반적인 이미지는 잠시 알려지지 않았을 것입니다.”라고 회사는 덧붙였습니다.

모스크바에서 설립된 스타트업 Group-IB는 2021년 9월까지 회사의 최고 경영 책임자였던 Ilya Sachkov에 의해 공동 설립되었지만, Sachkov는 기밀 정보를 무명의 외국 정부에 전달한 혐의로 반역죄로 러시아에 구속됐다고 Sachkov는 부인했다. 그 후 본사를 싱가포르로 옮긴 Group-IB는 공동 창설자의 무고를 주장하고 있다.

Leave a Reply

Your email address will not be published.