구글, ShinyHunters 공격으로 인한 세일즈포스 데이터 유출 확인

사이버 보안 캠페인에서 새로운 발전이 있었습니다. 구글은 해커 그룹 ShinyHunters에 의해 수행된 세일즈포스 시스템 중 하나에서 데이터 유출이 발생했음을 인정했습니다.

6월 초에 발생한 이 유출 사건은 구글의 내부 세일즈포스 인스턴스 중 하나를 타겟으로 하여 중소기업과 관련된 연락처 정보 및 메모를 노출시켰습니다. 당시 구글의 위협 정보 그룹(GTIG)은 이 위협에 대해 이미 경고했으며, 공격자들을 “UNC6040”이라는 재정적 동기를 가진 그룹으로, 그들의 갈취 부서를 “UNC6240”으로 지칭했습니다.

이제, 원래 게시물에 대한 업데이트에서 이 기술 대기업은 자신이 타겟이 되었음을 인정했습니다. GTIG에 따르면, 유출된 데이터는 “기본적이고 대체로 공개적으로 이용 가능한” 비즈니스 정보, 즉 비즈니스 이름 및 연락처 세부정보로 제한되었습니다. 침입은 짧았으며, 탐지 후 신속하게 접근이 차단되었습니다.

“6월에 구글의 기업 세일즈포스 인스턴스 중 하나가 이 게시물에 설명된 유사한 UNC6040 활동의 영향을 받았습니다. 구글은 이 활동에 대응하고, 영향 분석을 수행하며, 완화 조치를 시작했습니다.”라고 구글의 업데이트는 말합니다.

“이 인스턴스는 중소기업을 위한 연락처 정보 및 관련 메모를 저장하는 데 사용되었습니다. 분석 결과, 데이터는 접근이 차단되기 전 짧은 시간 동안 위협 행위자에 의해 검색되었습니다.”

ShinyHunters는 누구인가?

ShinyHunters는 잘 알려진 갈취 그룹으로, Snowflake, AT&T, NitroPDF, PowerSchool 등 여러 고위험 유출 사건과 연관되어 있습니다. 이번 여름, 그들은 Adidas, Qantas, Allianz Life, Cisco, Dior, Louis Vuitton, Pandora와 같은 기업의 세일즈포스 데이터를 유출한 책임을 주장했습니다.

이번에는 그들이 음성 피싱—즉 “vishing”—을 사용하여 직원들을 속여 세일즈포스와 같은 클라우드 서비스에 대한 접근 권한을 넘기게 했습니다.

확대되는 공격의 그물

구글의 유출 사건은 ShinyHunters가 세일즈포스 데이터를 훔치고 무기화하기 위한 훨씬 더 큰 캠페인의 일환입니다. 이 그룹은 IT 지원을 가장하여 설득력 있는 전화 통화 중에 사회 공학 전술을 사용하여 직원들이 자격 증명을 넘기거나 회사의 세일즈포스 계정에 연결된 가짜 앱을 승인하도록 속입니다.

일단 내부에 들어가면, 그들은 사용자 정의 스크립트나 수정된 세일즈포스 데이터 로더를 배포하여 민감한 비즈니스 데이터를 조용히 추출합니다.

일부 경우, 공격자들은 “My Ticket Portal”과 같은 이름으로 위장한 수정된 버전의 도구를 사용하여 피싱 통화에서 사용한 전제와 일치시킵니다.

중요하게도, 이러한 공격은 세일즈포스 자체의 결함을 이용하지 않습니다. 플랫폼은 여전히 안전합니다. 대신, 해커들은 사용자들이 자격 증명을 넘기거나 악성 연결 앱을 승인하도록 조작하는 인간의 실수에 의존합니다.

유출된 데이터는 이후 몸값 요구에 사용되며, 기업들은 72시간 이내에 비트코인으로 지불하라는 위협 이메일을 받습니다. 그렇지 않으면 정보가 온라인에 유출될 위험이 있습니다. 일부 경우, 기업들은 민감한 정보의 유출을 방지하기 위해 많은 금액을 지불했으며, 한 기업은 온라인에 데이터가 유출되는 것을 막기 위해 400,000달러를 지불한 것으로 보고되었습니다. **

구글의 대응

구글은 조직들이 이러한 종류의 사회 공학 공격—특히 세일즈포스 데이터 로더와 같은 도구와 관련된 공격으로부터 자신을 보호할 수 있도록 여러 주요 보안 조치를 공유했습니다. 이에는 다음이 포함됩니다:

• 세일즈포스 데이터 로더 및 연결된 앱에 대한 접근 제한
• IP 기반 접근 제한 사용
• 다단계 인증(MFA) 보편적으로 시행
• 대량 데이터 다운로드 모니터링
• 역할에 따라 권한 제한

“이러한 조치를 시행함으로써 조직들은 vishing 및 UNC6040 데이터 유출 캠페인 유형에 대한 보안 태세를 크게 강화할 수 있습니다.”라고 구글은 결론지었습니다.