Mandiant는 “여러 조직이 해당 활동을 성공적으로 차단하거나 취약점을 해결했지만 다른 조직에서는 손상을 입어 도난당한 데이터가 ShinyHunters DLS에 게시되었습니다.”라고 말했습니다. (DLS는 데이터 유출 사이트의 약자입니다.)
스테이징 환경에 남겨진 bash 스크립트를 분석한 결과, 공격자는 PeopleSoft 구성 매핑, 프로세스 스케줄러 보기, WebLogic 서버 XML 구성 등 손상된 조직에 대한 정찰을 수행한 것으로 나타났습니다. 결국 위협 행위자는 ShinyHunters의 DLS를 호스팅하는 IP 주소인 176.120.22.24에 대한 아웃바운드 SSH 연결을 설정했습니다. 도난당한 데이터는 먼저 zstd 도구를 사용하여 압축되었습니다. DLS는 단일 피해자로부터 48GB의 데이터를 복구했다고 주장했습니다.
ShinyHunters DLS의 부분적으로 편집된 섹션입니다.
크레딧: Mandiant
ShinyHunters DLS의 부분적으로 편집된 섹션입니다.
크레딧: Mandiant
ShinyHunters는 최소 2019년부터 활동해 왔습니다. 지난 몇 년 동안 세계 최대 기업을 대상으로 수많은 해킹을 실행하여 수백만 명의 다운스트림 사람들에게 영향을 미쳤습니다. 소수의 피해자 샘플에는 Ticketmaster(데이터를 호스팅한 Snowflake 침해로 인해), 스페인 최대 은행인 Santander, Salesforce(및 이를 통해 Google 및 기타 여러 회사가 포함된 것으로 알려짐)가 포함됩니다. ShinyHunters는 클라우드 구성 오류 및 소프트웨어 취약성 악용, OAuth 토큰 도용, 공급망 공격, 보이스 피싱 및 기타 형태의 사회 공학 등 다양한 기술을 사용하여 초기 액세스 권한을 얻습니다.
Mandiant와 Rapid7은 침해에 대한 자세한 지표를 제공하고 있습니다. 또한 PeopleSoft 고객에게 즉시 취해야 할 조치에 대해 조언하고 있습니다. ShinyHunters의 성공률을 고려하면 모든 PeopleSoft 사용자는 이러한 요구에 귀를 기울이는 것이 좋습니다.
관련 정보는 아래 링크에서 확인하세요