오늘부터 다시 써보는 - 영문기사 읽기 1주차 1일

 

 

중국 storm-0558 이라는 스파이 그룹이

신고와 조사는 2023년 6월부터 들어왔지만, 

2021년부터 시작해서 오랫동안 스파이 활동을 했습니다.

 

 

과정을 설명하자면

마이크로소프트의 개발자의 실수로 인해, storm-0558 그룹이 개발자의 계정을 탈취해서 crash dump를 가져오고 거기서 signing key를 발견했습니다.

그 키를 위조하여 forged key를 가지고 서유럽의 공공기관을 포함한 25개 가량의 기업의 MS 이메일 계정에 들어갔고, outlook web access 로 들어왔습니다. 결국 그 이메일에서 정보로 Azure 회사 시스템에 대한 정보도 얻고 SSL VPN 정보라든가 initial access 까지 무난히 가능했을 겁니다.

그 이후에 들어왔다는 사실이 발각되지 않게끔 조용히 데이터를 취득해갔을 것으로 보입니다. 

 

 

현재는 MS signing-key가 crashed dump에 포함되지 않도록 고쳐졌습니다. 

 

 

나의 의견 한 줄:

회사의 이메일 계정까지만 탈취하게 된다면, 워낙 initial access 할 수 있는 정보가 많아서 시스템에 접근하기가 정말 쉬울 듯 합니다.

보안에 신경쓰지 않고 회사에 관련된 정말 많은 중요 정보를 공유하고 있기 때문에 아주 치명적이라고 볼 수 있습니다.

 

오늘부터 여러개의 해외 보안 기사들을 읽고, 영감 받았던 기사 하나를 추려서 올릴테니 꾸준함을 기대해주길 바랍니다. 

 

 

 

https://securityaffairs.com/150449/hacking/chinese-hackers-stole-microsoft-signing-key.html