기계식 홍채를 가진 인간의 눈을 향해 다가오는 사이버네틱 문어를 묘사한 초현실적인 디지털 일러스트레이션으로, 그 위에 빛나는 붉은색 "취약성" 텍스트가 겹쳐져 사이버 보안 위협, 데이터 노출 및 디지털 감시 위험을 상징합니다.

0ktapus 피싱 공격에 대한 심층 분석

사용자 아바타
케이티 바이코프스키
3 1분 읽기

스윔레인의 자체 SOC가 로우코드 보안 자동화를 활용하여 잠재적인 공급망 공격에 대응한 방법을 알아보세요.

0ktapus는 무엇이었나요?

0ktapus는 Group-IB 연구팀이 발견한 대규모 피싱 캠페인으로, Okta 고객을 대상으로 Okta 인증 페이지를 모방한 피싱 사이트 링크가 포함된 문자 메시지를 보내 Okta 자격 증명과 2단계 인증(2-FA) 코드를 탈취하는 방식이었습니다.

악의적인 공격자들이 사용한 이 공격 기법은 새로운 것은 아니지만 최근 들어 대규모로 사용되고 있습니다. 공격자들은 일단 계정 정보와 2단계 인증 코드를 확보하면 목표 기업으로 공격을 확대할 수 있습니다. 이러한 공격의 주요 표적이 된 기업들은 소프트웨어 회사였으며, 그 뒤를 이어 통신, 비즈니스 서비스, 금융, 교육, 소매 및 물류 분야의 기업들이 있었습니다.

에 따르면 다크 리딩, 이번 피싱 공격으로 약 10,000개의 Okta 계정 정보와 2단계 인증(2-FA)이 유출되었습니다. Group-IB 연구팀은 이번 피싱 공격에 사용된 총 169개의 고유 도메인과 관련된 모든 침해 지표(IOC)를 확인했습니다. 여기.

사건 연대표

~에 2022년 8월 26일, 로우코드 보안 자동화 덕분에 당사의 보안 운영 센터(SOC) 팀은 관리형 탐지 및 대응(MDR) 파트너로부터 공급망 피싱 공격이 사용되고 있다는 알림을 신속하게 받을 수 있었습니다.

아래는 보안, IT 및 인사팀이 해당 피싱 공격에 대응하기 위해 사용한 도구들을 시간 순서대로 정리한 것입니다. 수영 레인 플랫폼.

오후 1시 8분 (MDT) – 스윔레인 SOC는 MDR 파트너로부터 공급망 공격에 대한 슬랙 알림을 받았습니다.

13시 13분에 – 스윔레인 SOC는 종결된 모든 사례를 검토하고 공개 정보 자료를 활용하여 위험을 평가했습니다.

13시 49분에 – 스윔레인 SOC는 모든 진행 중인 조치(보류 중이거나 완료된 조치 포함)를 추적하기 위해 새로운 사고 대응(IR) 사례를 생성했습니다. 웹 애플리케이션 방화벽(WAF), 네트워크 방화벽(NFW) 및 모든 엔드포인트를 포함하여 인프라에서 식별된 모든 IOC를 차단했습니다.

14시 7분 - 보안팀은 자동화 도구를 활용하여 Swimlane SOC, SIEM, 클라우드 리소스 및 엔드포인트 엔티티를 모두 사용하는 IOC 탐색을 시작했습니다. 하지만 이 과정에서 유의미한 탐지 또는 침해는 발견되지 않았습니다.

14시 19분에 스윔레인 자동화를 활용하여 모든 엔터프라이즈 IT 및 클라우드 환경에 대한 규칙과 정책을 업데이트하여 이번 공격과 연관된 것으로 확인된 알려진 IOC와 관련된 모든 활동을 격리하고 차단했습니다.

14시 48분에 - SOC는 조사를 마무리했으며 우리 조직에 어떠한 영향도 미치지 않은 것으로 나타났습니다.

위험 완화를 위한 지속적인 조치

이번 피싱 공격에 대응하기 위해 당사의 보안 및 인사팀은 직원들을 대상으로 스미싱 대응 교육을 실시하여 사용되는 위협 유형에 대한 정보를 제공했습니다.

조직은 SMS나 푸시 알림과 같은 일회용 비밀번호 전송 방식을 비활성화하는 것도 고려해야 합니다. 이러한 방식은 보안성이 떨어지고, 앞서 살펴본 바와 같이 악의적인 목적으로 조직을 공격하는 데 사용될 수 있기 때문입니다. 또한, 기업은 FIDO-2 규격을 준수하는 보안 키를 다단계 인증에 활용하여 공격 대상 기업의 공격 표면을 줄일 수 있습니다.

로우코드 보안 자동화가 어떻게 도움이 되었을까요?

로우코드 보안 자동화 및 적절한 사례 관리 위협 탐지 및 사고 대응 도구는 모든 위협에 신속하게 대응하는 데 매우 중요합니다. Swimlane의 위협 탐지 및 사고 대응 기능이 없었다면, 저희 SOC 팀은 이번 피싱 공격에 사용된 침해지표(IOC)를 검색하고 차단하기 위해 모든 보안 도구에 일일이 로그인해야 했을 것입니다.

Swimlane 플랫폼을 활용하여 자동화를 신속하게 도입하고 평균 문제 해결 시간(MTTR)을 단축할 수 있었습니다. 당사는 보안 자동화, 오케스트레이션 및 대응 플랫폼을 통해 다음과 같은 도움을 받고 있습니다.

  • IOC 프로세스의 수동 단계를 자동화합니다.
  • 오탐을 자동으로 표시하고 무시합니다.
  • 머신 속도로 컨텍스트 정보를 수집하여 IOC를 풍부하게 만듭니다.

스윔레인 보안 운영팀은 로우코드 보안 자동화를 활용하여 조사 과정에서 오류와 오탐을 줄입니다. 이 자동화 시스템은 일상적이고 시간이 많이 소요되는 작업을 처리함으로써 분석가들이 보다 전략적인 의사 결정에 시간을 할애할 수 있도록 지원합니다. 덕분에 0ktapus 피싱 공격에 즉각적으로 대응하고 보안의 중요성을 강조할 수 있었습니다.

사용자 프로비저닝, 정보 보강, 헬프 데스크 및 HR 시스템 통합을 위한 스윔레인 보안 자동화 워크플로

최신 보안 자동화 시스템 구매 가이드

기업 SOC 팀은 자동화의 필요성을 인식하고 있지만, 자동화 솔루션 자체를 구현하는 데 어려움을 겪는 경우가 많습니다. 보안 오케스트레이션, 자동화 및 대응(SOAR) 솔루션은 일반적으로 광범위한 스크립팅 작업을 요구합니다. 이 가이드에서는 현재 사용 가능한 다양한 보안 자동화 플랫폼을 분석하여 귀사의 요구 사항에 가장 적합한 솔루션을 찾는 데 도움을 드립니다. 

전자책 다운로드

태그

2023년 9월 21일
ARMOR 레벨 3 심층 분석: 자동 응답
더 읽어보기
2025년 3월 26일
모바일 피싱의 증가 추세와 예방 방법
더 읽어보기
2025년 6월 3일
사이버 공격 10가지 유형 및 예방 방법
더 읽어보기

라이브 데모를 요청하세요