Resources

Footsteps of the LAPSUS$ hacking group

Date 2022. 03. 23

Executive Summary

  • LAPSUS$ 해킹 그룹은 최소 2021년 5월 15일부터 딥웹 포럼에서 활동을 시작한 것으로 추정됩니다.
  • 이들은 최근 이슈되고 있는 랜섬웨어 오퍼레이터(RaaS)조직이 아니며, 데이터 탈취를 전문으로 수행하는 공격 그룹으로 확인됩니다.
  • 과거에는 RaidForums 및 Exploit.in과 같은 딥/다크웹 포럼에 피해 기업에 대한 게시글을 업로드하고 협박을 시도하였지만, 2021년 12월 10일부터 자신들만의 텔레그램 채널을 생성하여 홍보 및 활동을 하고 있습니다.
  • 텔레그램에서는 브라질의 보건부에 대한 최초 데이터 유출을 시작으로, 최근 NVIDIA 및 삼성에 대한 주요 데이터 뿐만 아니라 LG, Microsoft, 그리고 Okta에 대한 데이터를 업로드하며 전 세계의 주목을 받으며 이목을 끌고 있습니다.
  • 이들이 대기업에 내부에 접근할 때 가장 공들이는 부분은 VPN 및 MFA이며, 주로 MFA를 우회하기 위해 모바일 기반 소셜 엔지니어링 공격, 심 스와핑, 헬프데스크 연락, 직원 메일 계정 접근, 내부 직원 또는 관계자로부터 크리덴셜 구매 등과 같은 다양한 전략을 시도하고 있습니다.
  • 최소 5명 이상의 멤버들이 구성되어있는 것으로 추정되는 이 그룹의 가장 큰 목적은 금전이며, 간혹 그들만의 재미를 위해 관련 없는 기업을 해킹하는 사례도 확인됩니다.
  • 아직 정확한 내용이 공개되지는 않았지만 이들 중 실력이 뛰어난 멤버도 있을 것으로 추정되며, NVIDIA가 자신들에 대하여 보복공격을 한 것으로 착각한 이력이 있었던 것으로 보았을 때 일부 뛰어나지 않은 멤버도 있을 것으로 판단됩니다.
  • 이들은 본격적으로 활동한지 약 4개월밖에 되지 않았지만, 현재 매우 큰 관심을 받고 있기 때문에 더욱 더 활발하게 활동할 가능성이 높으며 이에 대한 대비 및 지속적인 공격 그룹 추적이 필요해 보입니다.