트윌리오(Twilio)를 공격했던 해커가 옥타 등 136개의 다른 기업을 노리고 있어 주의가 필요하다.
보안 회사 Group-IB에 따르면, 해커는 트윌리오와 클라우드 플레어 등 136개 조직을 대상으로 피싱 공격을 감행하고 있다. 해커들이 노린 대상은 대부분 IT, 소프트웨어 개발 및 클라우드 서비스 제공 기업들이다.
Group-IB에 따르면, 0ktapus라 불리는 피싱 캠페인은 9931개의 계정과 3120개의 이메일 사용자의 자격 증명을 손상시켰다.
해커는 사용자로부터 옥타 ID 자격 증명 및 2FA(2단계 인증) 코드를 얻기 위해 정보를 사용해 엔터프라이즈 리소스에 대한 접근 권한을 얻었다.
주로 옥타(Okta) 고객을 표적으로 삼았으며, 공격 체인은 각 표적 기관의 옥타 인증 페이지를 모방한 피싱 사이트 링크가 포함된 문자 메시지를 사용자에게 전송하는 방식으로 이뤄졌다.
Group-IB는 해커가 조직을 손상시킨 후 신속하게 피벗 및 후속 공급망 공격을 시작한 것으로 보아 공격이 사전에 계획된 것으로 분석했다. 숙련되지 않은 방법을 사용했음에도 불구하고 다수의 정보에 접근했다는 점도 있다.
해커는 2FA 코드의 만료를 피하기 위해 손상시킨 데이터를 받는 즉시 사용하고, 또한 지속적인 모니터링을 통해 적시에 자격 증명을 사용했다. 사용된 피싱 키트는 텔레그램 채널을 통해 삭제됐다.
Group-IB에 따르면, 공격을 완화하기 위해 사용자는 자격 증명을 입력하는 사이트의 URL을 확인해야 한다. 이는 권한 있는 계정을 가진 사용자에게 특히 중요하다. 또한 알 수 없는 출처에서 받은 모든 URL을 의심하고, 문제가 있어 보일 시 분석을 위해 보안 팀에 전달해야 한다.
*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
