개요
In 2025년 8월, Telegram 채널이라는 이름 “흩어진 LAPSUS$ 사냥꾼들” 악명 높은 사이버 범죄 조직과 연관이 있는 것으로 드러났습니다. 흩어진 거미, 샤이니 헌터스및 랩수스 $이 그룹은 훔친 데이터, 몸값 요구, 그리고 도발적인 발언들을 빠르게 게시하며 LAPSUS$가 주도했던 혼란을 되살렸습니다. 이 그룹의 이름은 다음과 같은 연관성을 암시합니다. “더 컴”는 행위자들이 도구와 신원을 공유하는 지하 네트워크로, 이로 인해 귀속 관계가 복잡해집니다. 이전 블로그에서 다루었듯이 Google-Salesforce 침해이러한 중복은 UNC3944(산란된 거미), UNC5537 및 UNC6040과 같은 클러스터에서 흔히 나타납니다.
Scattered LAPSUS$ Shiny Hunters(SLSH) 그룹이 오라클 E-Business Suite의 심각한 제로데이 취약점인 CVE-2025-61882에 대한 익스플로잇 코드를 공유한 것으로 알려졌습니다. 이 취약점은 인증되지 않은 원격 코드 실행을 허용합니다. 오라클은 Mandiant가 Clop 랜섬웨어 그룹이 2025년 8월 해당 취약점을 악용하여 데이터를 훔치고 몸값 요구 캠페인을 벌였다고 밝힌 후 이 문제를 확인하고 긴급 패치를 발표했습니다. 9월에는 SLSH와 연계된 해커들이 Discord의 외부 공급업체를 해킹하여 결제 정보와 ID를 포함한 제한된 사용자 데이터를 노출시키고 유출을 막는 대가로 몸값을 요구했습니다. 증거에 따르면 Zendesk 해킹을 통해 Discord의 관리 시스템에 접근한 것으로 보입니다. 연구원들은 ShinyHunters가 강탈 서비스 (EaaS) 모델은 다른 해커들과 협력하여 랜섬웨어 공격을 감행하는 방식으로, 다른 침해 사례들을 통해 더욱 강화된 아이디어입니다. SLSH는 10월 11일 EaaS 플랫폼 공식 출시 계획을 발표했습니다.
위협 환경
최근 게시물들은 10월 10일까지 몸값을 지불하지 않으면 Salesforce 관련 데이터를 유출하겠다고 위협하며, Salesloft 생태계와 관련된 추가 공격을 암시하고 있습니다. 조사 결과, 이 조직은 비싱 기반 소셜 엔지니어링 기법에 크게 의존하여 직원들이 가짜 Salesforce Data Loader 앱을 설치하거나 악성 연결 앱을 승인하도록 유도하여 접근 권한을 획득하는 것으로 나타났습니다. 이러한 사건들은 진정한 취약점이 소프트웨어 결함이 아니라 인간의 조작에 있음을 보여주는데, 이는 끊임없이 진화하는 위협 환경의 지속적인 특징입니다. Salesforce는 Scattered LAPSUS$ Hunters(SLH) 조직의 몸값 요구에 응하지 않을 것이라고 공식적으로 밝혔습니다.
이 입장이 공개된 직후, 악성 코드가 포함된 메시지 제목의 "빛나는 사냥꾼들" 로 보내졌다 KrebsOnSecurity물리적 위협과 악성 링크가 호스팅되는 라임와이어[.]닷컴. 유사한 위협적인 이메일을 표적으로 삼았습니다. 맨디 언트 그리고 여러 다른 보안 회사도 있습니다.
해당 링크는 스크린샷 파일로 위장하여 피해자가 파일을 열지 않고도 감시, 신원 정보 도용, 키로깅이 가능한 원격 접속 트로이 목마(RAT)를 몰래 설치했습니다. Mandiant는 이후 해당 악성코드를 비동기화사이버 범죄 활동에 널리 사용되는 .NET 기반 RAT입니다. 플러그인 기반 설계를 통해 공격자는 악성 도구를 은밀하게 실행하고, 스크린샷을 캡처하고, 키 입력을 기록하고, 암호화폐를 채굴할 수 있습니다.
이러한 협박 전술은 과거 SLH의 행태와 일맥상통합니다. 당시 회원들은 자신들의 캠페인을 조사하는 연구원과 법 집행 기관을 표적으로 삼았습니다. 한편, 법 집행 기관의 압력은 거세지고 있습니다. 9월 말, 영국에서 Scattered Spider 멤버로 의심되는 두 명이 체포되었습니다. 유사한 작전을 통해 1억 1,500만 달러 이상을 훔치고 갈취한 혐의.
수년에 걸쳐 여러 차례 체포되었음에도 불구하고, 이러한 조직이나 그들의 리브랜딩은 여전히 활발하게 활동하며 점점 더 대담해지고 있습니다. 그들은 새로운 랜섬웨어 서비스를 운영한다고 주장합니다. “SHINYSP1D3R” , 그리고 익스플로잇을 판매하고 있지만, 이러한 주장의 대부분은 아직 검증되지 않았습니다. 많은 피해자들이 과거 UNC5537 및 UNC6040 공격 대상과 일치하며, 이는 새로운 공격자라기보다는 지속적인 공격임을 시사합니다.
Oracle 제로데이 악용
The 흩어진 LAPSUS$ 샤이니 헌터스(SLSH) 그룹은 또한 악용 코드를 공유한 것으로 보입니다. CVE-2025-61882Oracle E-Business Suite의 중요한 제로데이로, 인증되지 않은 원격 코드 실행을 허용합니다. 즉, 사용자 이름과 비밀번호가 필요 없이 네트워크를 통해 악용될 수 있습니다.
Oracle에서 검증했으며 발행 긴급 패치를 배포하고 고객에게 즉시 업데이트할 것을 촉구했습니다. Mandiant의 Charles Carmichael 확인 된 그 클롭 랜섬웨어 이 그룹은 2025년 8월에 이 결함을 처음 악용해 Oracle 서버에서 데이터를 훔치고 몸값 요구 캠페인을 시작했습니다.
Oracle EBS 서버를 표적으로 하는 익스플로잇 활동은 공식 패치가 출시되기 전인 2025년 7월 초부터 발견되었습니다. 일부 익스플로잇 아티팩트는 2025년 10월 3일 SLSH 텔레그램 채널에서 공유된 익스플로잇과 중복되는 것으로 알려졌습니다. 그러나 GTIG(Google Threat Intelligence Group)는 핵심 침입의 원인을 SLH 또는 "샤이니 헌터스"(UNC6240)로 단정 지을 만한 증거가 충분하지 않다고 지적했습니다.
Red Hat과 Discord 침해
On 20년 9월해커는 타사 지원 제공업체를 침해했습니다. 디스코드, 도둑질 사용자 신원, 결제 정보 및 정부 발급 신분증 고객 지원이나 신뢰 및 안전팀에 문의한 제한된 수의 사용자로부터 얻은 정보입니다.
2025년 9월 Rapid7에 의해 처음 발견된 이 그룹은 오픈소스 도구인 TruffleHog를 사용하여 유출된 AWS 자격 증명을 스캔합니다. 접근 권한을 획득하면 S3 및 RDS와 같은 기본 AWS 서비스를 사용하여 새 사용자를 생성하고, 권한을 상승시키고, 데이터베이스, 프로젝트 저장소, EBS 스냅샷을 유출합니다.
이들은 종종 관대한 보안 그룹을 적용하여 맞춤형 EC2 인스턴스를 배포하고, 도난당한 볼륨을 첨부하며, SES(Simple Email Service) 또는 외부 계정을 사용하여 피해자에게 협박 이메일을 발송합니다. 이 조직의 전술은 신중한 계획, 높은 수준의 자동화, 그리고 클라우드 네이티브 악용에 중점을 두는 것을 보여줍니다. 이 모든 것은 악용이 아닌 유효한 자격 증명을 활용합니다.
정확한 구조는 아직 불분명하지만, 랜섬노트에 공유 IP 주소와 문구가 사용된 것을 보면 여러 공격자가 연루되었음을 시사합니다. 이들은 암호화보다는 데이터 유출에 주력하는 것으로 보이며, 이는 현대식 서비스형 강탈(Extortion-as-a-Service) 공격과 더 유사합니다.
점점 더 많은 추측이 나오고 있습니다. Red Hat의 침해 최근 공개된 취약점과 관련이 있을 수 있습니다. 레드햇 오픈시프트 AI - CVE-2025-10725 (CVSS 9.9)공식적인 출처는 밝혀지지 않았지만, Scattered LAPSUS$ Shiny Hunters(SLSH)에서 유출된 샘플 데이터에 내부 인프라 세부 정보를 참조하는 .config 및 .yml 파일이 포함되어 있는 것을 확인했습니다. 이는 Crimson Collective이 손상된 환경 내에서 접근 또는 에스컬레이션 전략의 일환으로 이 취약점을 악용했을 가능성을 시사합니다. Red Hat에 따르면, 이 취약점은 최소한의 인증만 필요하며 권한이 낮은 사용자 특권을 확대하고 이익을 얻으려고 클러스터 관리자 액세스하이브리드 클라우드 환경 내의 모든 작업 부하와 데이터가 잠재적으로 손상될 수 있습니다.
이 심각한 취약성은 다음을 위협합니다. 기밀성, 무결성 및 가용성 전체 AI 플랫폼의. 오픈시프트 AI대규모 AI/ML 워크로드를 관리하기 위한 Red Hat의 엔터프라이즈급 솔루션은 업계 전반에서 널리 사용되고 있으며 Jupyter 노트북과 같은 도구를 통합하여 이러한 결함의 영향이 잠재적으로 광범위할 수 있습니다.
Rapid7에 의해 이 활동에 연결된 IP 주소는 주로 포트 스캐닝 활동에 사용되었습니다. 대상 포트는 9, 21, 80, 81, 82, 443, 3000, 3001, 4443, 5000, 5001, 7001, 8000, 8008, 8010, 8080, 8081, 8082, 8443, 8888, 9000, 9001, 9090, 9091, 9099입니다. 이러한 IP에 대한 활동은 9월 8일부터 20일 사이에 관찰되었습니다.
나중에 연구자들은 다음과 같이 관찰했습니다. 흩어진 랩서스$ 샤이니 헌터스(SLSH) 나와 레드햇 누출 현장에서 - 다음을 나타냅니다. SLSH는 Crimson Collective을 대신하여 Red Hat을 협박하고 있습니다.. 분석가들은 이제 다음과 같이 믿습니다. Red Hat 데이터 침해 가능성이 높다 SLSH와 Crimson Collective의 협력 운영.
Crimson Collective에서 공유하고 이후 Scattered LAPSUS$ Hunters 유출 사이트에서 참조된 파일 트리 및 데이터 샘플 분석 결과, Red Hat 침해 사고로 인해 수많은 조직이 영향을 받았을 가능성이 있는 것으로 나타났습니다. 유출된 저장소 구조에 포함된 회사 및 환경의 이름은 광범위한 운영 영역을 시사합니다. 실제 파일 내용은 여전히 접근할 수 없지만, 명명 규칙과 구조는 침해의 잠재적 범위를 보여줍니다. 유출 사이트에서 공유된 일부 샘플 CER 데이터 세트는 다음과 같은 예시를 보여주었습니다. 구성 스크립트 (.cfg, .yml), 예 인증 토큰, 샘플 네트워크 다이어그램 및 기본 비밀번호"예시"로 표시되어 있더라도 이러한 파일은 고객에게 위험을 초래할 수 있습니다.CER 파일에 나타나는 사람들) 생산과 관련된 업무에서 직접 발생하는 경우.
다음 통계 차트는 디렉토리 트리와 파일 이름에만 기반한다는 점에 유의하는 것이 중요합니다. 우리가 유출된 샘플 데이터 구조에서 관찰한 것기본 파일이나 데이터에 접근할 수 없었기 때문에 모든 항목이 활성 또는 합법적인 시스템을 반영한다고 확신할 수는 없습니다. 일부 항목은 오래된 시스템, 내부 테스트 또는 완료되지 않은 배포를 나타낼 수 있습니다. 그러나 거의 5년간의 컨설팅 활동을 포괄하는 광범위한 목록은 이 정보의 상당 부분이 나열된 조직 전반에 걸쳐 실제로 배포된 프로덕션 환경과 관련이 있을 가능성을 강력히 시사합니다.
Red Hat에서 유출된 디렉토리 트리를 기반으로 한 분석에 따르면 BFSI가 전 세계적으로 가장 큰 영향을 받은 부문(약 29%)이고, 그 다음으로 기술 부문(약 17%)과 정부 부문(약 11%)이 뒤따릅니다.
수개월 동안 보안 연구원들은 의심해 왔습니다. 샤이니 헌터스 로 운영되는 강탈 서비스(EaaS) 다른 위협 행위자들과 협력하여 피해자들을 갈취하고 몸값을 챙긴다는 주장은 랜섬웨어 제휴 모델과 유사합니다. 이 이론은 여러 건의 침해 사고를 통해 더욱 힘을 얻었습니다. 오라클 클라우드 및 PowerSchool해당 단체가 침입 사실을 직접 주장하지 않았음에도 불구하고, ShinyHunters라는 이름으로 협박을 당했습니다.
대화에서 멍청한 컴퓨터ShinyHunters는 도난당한 데이터의 중개자 역할을 하는 경우가 많다고 인정했습니다. 25-30의 % 모든 강탈 지불에 대해. 공개 출시와 함께 데이터 유출 사이트, 이제 그들은 이 서비스를 공개적으로 제공하는 것으로 보입니다.
이외에도 레드햇, ShinyHunters는 현재 협박 중입니다 S & P 글로벌 2025년 2월 침해 사건에 대한 책임을 주장한 또 다른 위협 행위자를 대신하여. S&P는 이전에 어떠한 침해도 부인했지만, ShinyHunters는 이제 샘플 데이터를 공개하고 10년 10월 몸값 지불 기한. S&P 글로벌은 미국 상장 기업으로서 정보 공개 의무를 이유로 논평 요청을 거부했습니다.
Scattered LAPSUS$ Shiny Hunters는 텔레그램 채널에 고수익 기업 직원들의 내부자 접근을 요구하는 공개 채용 메시지를 게시했습니다. 이 메시지는 통신(Claro, Telefónica, AT&T 등), 대형 소프트웨어 및 게임 기업(Microsoft, Apple, EA, IBM 등), 콜센터/BPM 제공업체(Atento, Teleperformance 등), 서버 호스트(OVH, Locaweb 등)와 같은 분야를 명시적으로 타깃으로 삼았습니다. 이 게시물은 데이터를 원하는 것이 아니라(이미 모든 것을 갖추고 있다고 주장합니다) 지속적인 네트워크 접근(VPN/VDI/Citrix 접근, Active Directory 기능, Okta/Azure/AWS 특권 접근)을 원하며, 기꺼이 내부자 자격을 얻는 사람에게는 금전적 보상을 제공한다는 점을 분명히 했습니다. 이들은 불확실한 지원자에게 DM을 보내도록 권장했고, VPN/VDI 접근 권한이 있는 비직원도 관심을 보이고 있으며, 미국, 호주, 영국, 캐나다, 프랑스를 주요 타깃으로 삼고 있다고 밝혔습니다. 이런 뻔뻔스러운 권유는 강탈 작전을 지원하기 위해 내부자를 이용한 침입으로 전환하고 있음을 보여줍니다.
10월 8일 기준, SLSH 그룹은 텔레그램 채널에 인도 시민과 관련된 대규모 KYC 데이터 세트를 보유하고 있다고 게시했습니다. 추가 증거는 공개되지 않았으며, 따라서 본 보고서 작성 시점을 기준으로 해당 주장의 진위 여부는 여전히 불확실합니다.
10월 11일, Scattered LAPSUS$ Shiny Hunters(SLSH)는 공개 EaaS 서비스 출시 계획을 밝혔습니다. SLSH의 발표에 따르면, 포털과 관련 지침이 제공될 예정입니다. SLSH는 공격자가 해당 조직의 이름과 평판을 활용하여 익명 공격보다 공격 효과를 높일 수 있다는 것이 주요 장점이라고 밝혔습니다. 추가 정보가 공개될 예정입니다. SLSH는 또한 "Qantas Airways Limited", "Albertsons Companies, Inc.", "GAP INC.", "Fujifilm", "Engie Resources", "Vietnam Airlines"의 유출된 전체 데이터 세트를 다크넷 사이트에 공개했는데, 이는 협상이 결렬되거나 몸값 요구가 거부된 후일 가능성이 높습니다.
상황화
Seqrite 위협 인텔리전스(STI)는 피해자학, TTP, 취약점 등에 대한 적절한 보강 및 맥락과 함께 이러한 그룹과 관련된 완전한 상관관계를 제공합니다.
결론
Scattered LAPSUS$ Hunters의 부상은 사이버 협박의 새로운 국면을 알리는 신호탄으로, 단순한 기술적 역량보다는 홍보, 소셜 엔지니어링, 그리고 협업을 통해 이루어집니다. LAPSUS$, ShinyHunters, 그리고 Scattered Spider의 전술을 혼합한 이들의 행보는 혼란과 가시성을 바탕으로 번영하는 느슨하게 연결된 협박 연합으로의 광범위한 변화를 보여줍니다.
Oracle E-Business Suite 제로데이와 같은 유출된 익스플로잇의 사용은 위협 행위자들이 얼마나 빠르게 공개 도구를 무기화하여 영향력을 증폭시킬 수 있는지를 보여줍니다. 공격 집단이 개방형 플랫폼에서 인프라와 코드를 공유함에 따라 공격의 원인 규명이 여전히 모호합니다. 이 캠페인은 시스템뿐만 아니라 사람이 가장 취약한 연결 고리임을 다시 한번 보여줍니다. 현재 최선의 방어책은 강력한 접근 제어, 다중 인증, 지속적인 위협 모니터링, 그리고 사용자 인식입니다. 이러한 하이브리드 공격은 현대 사이버 범죄가 기술적 침해만큼이나 심리적 압박과 평판 손상에도 큰 영향을 미친다는 것을 보여줍니다.
- Oracle, Discord 및 타사 시스템 전반에서 모든 자격 증명과 서비스 계정을 순환하고, 권고 사항에 명시된 Red Hat 지침을 따르세요.
- 모든 시스템에 즉시 패치를 적용하고 패치가 적용되지 않은 서버는 격리합니다.
- 기본 인증 토큰, API 키, 세션 쿠키, 디지털 인증서(CER 파일) 및 개인 키를 취소하고 다시 생성합니다.
- 모든 구성 파일을 감사하고 정리하여 하드코딩된 자격 증명이나 토큰을 제거합니다.
- 코드와 구성 저장소에서 지속적인 비밀 스캐닝을 구현합니다.
- 최소 권한 및 적시 모델을 사용하여 관리자 및 서비스 액세스를 제한합니다.
- 자격 증명이나 토큰 오용을 감지하기 위해 SIEM 및 EDR/XDR 모니터링을 강화합니다.
- 타사 공급업체를 평가하고 보안을 강화하며, SOC 2 또는 ISO 27001 규정 준수를 요구합니다.
- 유출된 데이터의 범위와 영향을 확인하기 위해 전체 데이터 노출 분석을 수행합니다.
- 무결성이 불확실한 경우 깨끗한 백업을 통해 손상된 시스템을 재구축하거나 복원합니다.
- 유출된 구성, 토큰, 인증서 시나리오를 포함하도록 사고 대응 계획을 업데이트합니다.
- 영향을 받는 사용자나 파트너에게 알리고 공개 규정을 준수합니다.
- 지속적인 취약성 스캐닝과 예약된 자격 증명/키 순환을 활성화합니다.
- 유출된 구성, 토큰 또는 인증서가 있는지 다크 웹 소스를 모니터링합니다.
- 직원들에게 피싱, 신원 도용 시도를 인식하고 비싱 함정에 빠지지 않는 방법을 교육합니다.
