Grafana, 도난당한 GitHub 토큰으로 해커가 코드베이스를 탈취.
Grafana Labs는 해커가 도난당한 액세스 토큰을 사용해 GitHub 환경을 침해한 뒤 소스 코드를 다운로드했다고 공개했습니다.
CoinbaseCartel이라는 비교적 새로운 갈취 조직이 자신들의 데이터 유출 사이트(DLS)에 Grafana를 추가함으로써 이번 공격을 주장했지만, 아직 데이터가 유출된 것은 없습니다.
Grafana Labs는 분석, 모니터링 및 실시간 데이터 시각화를 위한 인기 오픈소스 플랫폼인 Grafana의 배경 회사입니다. 유료 고객은 주로 대기업, 클라우드 제공업체, 통신사, 은행, 정부, 전자상거래 플랫폼 및 인프라 운영자들입니다. Grafana에 따르면 7,000개 이상의 조직이 이 제품을 사용하고 있으며, 여기에는 Fortune 50 기업의 70 %가 포함됩니다.
해커에게 금전적 보상 없음
주말에 발표된 성명에서 Grafana Labs는 조사 결과 사건 중 고객 데이터나 개인 정보가 노출되었다는 증거가 없다고 밝혔습니다. 또한 고객 시스템은 영향을 받지 않았다고 덧붙였습니다.
법과학 분석을 통해 유출된 자격 증명의 출처가 확인되었습니다. 회사는 “침해된 자격 증명을 무효화하고 추가 보안 조치를 구현”하여 향후 무단 접근을 방지했습니다.
공격자는 도난당한 소스 코드를 공개하지 않겠다는 대가로 금전을 요구하며 갈취를 시도했지만, Grafana는 연방수사국(FBI)의 공개 지침을 따르기로 하고 몸값을 지불하지 않겠다고 밝혔습니다. 몸값을 지불하면 다른 위협 행위자들이 유사한 공격을 시도하도록 장려될 뿐이라고 설명했습니다.
“우리의 운영 경험과 FBI가 발표한 입장에 따르면, 몸값을 지불한다고 해서 귀하나 귀 조직이 데이터를 되찾을 수 있다는 보장은 없으며, 오히려 다른 이들이 이와 같은 불법 활동에 가담하도록 유인하게 됩니다. 따라서 우리는 몸값을 지불하지 않는 것이 올바른 방향이라고 판단했습니다.” Grafana는 이렇게 밝혔습니다.
회사는 사후 조사 완료 후 공격에 대한 추가 세부 정보를 공개하겠다고 말했습니다. BleepingComputer는 Grafana에 추가 정보를 요청했지만, 기사 작성 시점까지 회신을 받지 못했습니다.
CoinbaseCartel 활동 확대
CoinbaseCartel은 지난해 9월에 시작돼 올해는 매우 활발히 활동하고 있으며, 데이터 유출 포털에 100명 이상의 피해자를 발표했습니다. 이 조직은 데이터 절도를 주요 목표로 삼으며 DLS를 이용해 피해자에게 몸값을 요구합니다.
CoinbaseCartel이 자사 갈취 포털에 Grafana를 등재
출처: BleepingComputer
이 조직은 사이트에서 “많은 유출이 뒤처져 있다”고 발표했으며, 이는 아직 공개되지 않은 추가 침해가 발생하고 있음을 시사합니다.
다수 연구자에 따르면 CoinbaseCartel은 ShinyHunters와 Lapsus$ 계열사들로 구성되어 있으며, 사회공학, 다양한 피싱 기법 및 탈취된 자격 증명을 통해 목표 네트워크에 접근합니다.
위협 인텔리전스 전문가 Joe Shenouda는 이 조직이 “shinysp1d3r” 라는 메모리 내 도구를 배포해 VMware ESXi 대상을 암호화하고 스냅샷을 비활성화한다고 주장합니다.
작년 BleepingComputer는 ShinyHunters 갈취 그룹이 만든 ShinySp1d3r Windows 암호화 도구를 분석했습니다. 당시 위협 행위자는 Linux와 ESXi용 암호화 버전을 개발 중이라고 밝혔습니다.
이 기사가 공개된 뒤 ShinyHunters 갈취 조직은 CoinbaseCartel이 자신들의 그룹이나 랜섬웨어 운영과 연결되어 있지 않다고 BleepingComputer에 전했습니다.