샤이니헌터스 협박 후 차터, 데이터 유출 인정
미국 통신 대기업인 Charter Communications는 ShinyHunters 협박 조직이 몸값을 요구하지 않으면 도난당한 데이터를 유출하겠다고 위협한 뒤 데이터 유출이 발생했음을 확인했습니다.
Charter Communications는 Spectrum 브랜드를 통해 수천만 명의 가정 및 기업 고객에게 서비스를 제공하는 미국 최대 규모의 광대역 제공업체 중 하나입니다.
주말에 공개된 성명서에서 회사는 이번 사건에 대해 당국에 알리고 있으며, 민감한 개인 고객 정보는 유출되지 않았다고 밝혔습니다.
“우리는 상황을 인지하고 있으며, 보안 프로토콜에 따라 적절한 당국에 알리는 절차를 진행 중입니다.”라고 Charter는 BleepingComputer에 전했습니다.
”최근 활동으로 인해 위협 행위자가 민감한 개인 정보(PI)나 고객 전용 네트워크 정보(CPNI)를 탈취하지 않았습니다.”
ShinyHunters, Charter를 협박
이 성명서는 ShinyHunters 데이터 유출 사이트에 Charter가 등재된 뒤 나온 것으로, 공격자는 소비자와 기업 고객의 개인 정보가 포함된 4천만 건의 기록을 탈취했다고 주장했습니다.
ShinyHunters 데이터 유출 사이트에 올라온 Charter 목록
ShinyHunters는 BleepingComputer에 4월 1일 음성 피싱(vishing) 공격을 통해 직원의 Microsoft Entra 계정을 탈취해 Charter를 침해했다고 주장했습니다. 위협자는 이 접근 권한을 이용해 회사의 Salesforce 인스턴스에서 수백만 건의 소비자 및 기업 고객 기록을 내보냈다고 합니다.
위협 행위자에 따르면, 탈취된 기록에는 고객 이름, 이메일 주소, 실제 주소, 전화번호, 전화 유형, 요금제 정보 및 일부 CPNI 데이터가 포함되어 있습니다. 또한 고객 지원 티켓 데이터도 탈취했다고 주장했습니다.
BleepingComputer는 추가적인 고객 데이터(일부 CPNI 포함)가 탈취되었다는 위협 행위자의 주장에 대해 Charter에 다시 연락했지만, 회사는 최초 성명서로 다시 안내했습니다.
지난해부터 이 협박 조직은 광범위한 소셜 엔지니어링 캠페인을 진행해 직원 및 BPO 에이전트의 Microsoft Entra, Okta, Google SSO 계정을 표적으로 삼아 왔습니다. 기업 SSO 계정에 접근하면 위협자는 Salesforce, Microsoft 365, Google Workspace, SAP, Slack, Adobe, Atlassian, Zendesk, Dropbox 등 연결된 SaaS 애플리케이션에서 데이터를 탈취합니다. 탈취된 데이터는 몸값을 지불하지 않으면 공개하겠다는 협박을 통해 기업을 갈취하는 데 사용됩니다.
Salesforce는 이 협박 조직이 즐겨 노리는 표적이며, 위협자는 수많은 통합 회사를 침해해 OAuth 토큰을 탈취하고 이를 이용해 Salesforce 인스턴스에 접근합니다.
최근 ShinyHunters는 교육 기술 기업 Instructure를 상대로 여러 차례 공격을 감행했으며, 그 결과 Canvas 서비스 중단과 수천만 명의 학생 데이터 유출이 발생했습니다. Instructure는 결국 협박 조직과 “합의”에 도달했으며, 이는 공개 유출을 막기 위해 몸값을 지불했을 가능성이 높습니다.