소프트웨어 제공업체에 대한 피싱 공격으로 인해 1,500만 달러 상당의 암호화폐가 위험에 처해 있습니다.

• 공격자는 Retool에서 사용자 이메일을 변경하고 비밀번호를 재설정하여 27개 계정에 영향을 미쳤습니다.
• 그러나 Retool의 온프레미스 고객은 공격의 영향을 받지 않았습니다.

유명 소프트웨어 플랫폼인 Retool이 스피어 피싱 피해를 입었습니다. 공격 8월 27일, 1,500만 달러 상당의 암호화폐가 위험에 빠졌습니다. 이로 인해 일부 클라우드 고객의 무단 액세스가 발생했지만 Retool은 즉시 위반 문제를 해결하기 위한 조치를 취했습니다.

공격자는 Retool 직원을 대상으로 SMS 기반 피싱 공격을 이용했습니다. 공격자는 사기성 문자 메시지를 보내 IT 팀의 구성원인 것처럼 가장하여 급여 시스템 및 공개 등록과 관련된 문제를 해결한다고 주장하여 직원의 중요한 관심사인 의료 보장을 활용했습니다.

로그인이 Okta로 마이그레이션되는 시기와 일치했으며 메시지에는 Retool의 내부 ID 포털을 모방한 URL이 포함되어 있었습니다.

공격에서 기만적인 전술을 밝혀냅니다.

대부분의 직원은 텍스트 확인을 자제했지만 불행한 직원 한 명이 링크를 클릭하여 다중 인증(MFA) 프롬프트가 포함된 가짜 포털로 연결되었습니다.

이후 공격자는 Retool IT 팀원과 유사한 딥페이크 음성을 사용하여 해당 직원과 전화 통화를 시작했습니다. 대화 중에 직원은 점점 더 의심스러워졌지만 여전히 추가 MFA 코드를 공유했습니다.

이 추가 코드를 통해 공격자는 자신의 장치를 직원의 Okta 계정에 추가할 수 있었습니다. 기기를 추가하면 활성 G Suite 세션에 대한 액세스 권한이 부여되었습니다.

특히 Google은 최근 MFA 코드를 클라우드에 동기화하여 잠재적으로 보안을 손상시키는 기능을 도입했습니다. 공격자는 MFA 코드 동기화를 장려하는 Google의 다크 패턴으로 인해 활성화된 이 취약점을 이용했습니다.

침해의 영향은 VPN 및 관리 시스템을 포함한 Retool의 내부 시스템으로 확장되어 주로 암호화폐 업계의 특정 고객에 대한 계정 탈취 공격이 가능해졌습니다.

공격자는 사용자 이메일을 변경하고 비밀번호를 재설정하여 총 27개 계정에 영향을 미쳤습니다.

침해 사실을 발견한 Retool은 신속한 조치를 취했습니다. 모든 내부 인증 세션을 취소하고 영향을 받은 계정을 보호하고 영향을 받은 고객에게 알리고 계정을 원래 상태로 복원했습니다.

놀랍게도 온프레미스 시스템은 Retool의 클라우드 환경과 독립적으로 작동하므로 Retool의 온프레미스 고객은 영향을 받지 않았습니다.

회사는 위반 사항을 조사하기 위해 법 집행 기관 및 제3자 법의학 회사와 적극적으로 협력하고 있음을 확인했습니다.

이것은 AMBCrypto 영어의 번역입니다.