Jaguar Land Rover Hit by HELLCAT Ransomware Using Stolen Jira Credentials
Jaguar Land Rover Hit by HELLCAT Ransomware Using Stolen Jira Credentials
The HELLCAT ransomware group has claimed for a data breach at Jaguar Land Rover (JLR), exposing vast amounts of sensitive data.
gbhackers.com
- 침해 개요
- HELLCAT 랜섬웨어 그룹이 Jaguar Land Rover(JLR)를 공격하여 소스 코드, 직원 정보, 파트너 정보 등 민감 데이터를 유출
- 침해 경로는 Atlassian Jira 시스템에 접근 가능한 LG전자 직원의 감염된 단말에서 탈취된 자격 증명
- 최초 공격자는 “Rey”로 확인되었으며, 이후 “APTS”라는 두 번째 공격자가 추가적으로 350GB 이상의 데이터를 탈취
- 공격 기법
- 인포스틸러(Info-stealer) 악성코드를 통한 자격 증명 수집
- 악성 이메일, 악성 다운로드, 감염된 웹사이트를 통해 배포
- Lumma 악성코드 사용 사례와 유사
- 탈취된 Jira 계정 정보를 통해 내부 시스템 접근 후 권한 상승
- 이후 데이터 유출, 정보 암호화, 협박 및 판매로 이어지는 랜섬웨어 활동 전개
- 인포스틸러(Info-stealer) 악성코드를 통한 자격 증명 수집
- 보안 인텔리전스 연계
- Hudson Rock의 3천만대 이상 인포스틸러 감염 컴퓨터 분석 결과, 수천 개의 Jira 관련 계정이 유출된 것으로 확인
- 이번 공격에서 사용된 계정은 이미 Hudson Rock 데이터베이스에 존재하던 것으로 수년간 변경되지 않고 유효했던 자격 증명
- 유출된 Jira 대시보드 스크린샷과 인증된 계정 일치 정보도 포함되어 위협 확산 가능성 존재
- 보안 취약점 및 관리상의 문제점
- 오래된 자격 증명 미회수 및 미회전으로 인한 인증 체계 실패
- 기업 시스템 내 주요 서비스(Jira 포함)에 대한 다중 인증(MFA) 미구현 또는 미강제
- 외부 연동 계정(LG전자 직원 계정 등)에 대한 권한 제한 및 모니터링 부재
- 결론
- 정보 탈취형 악성코드 감염 경로 차단을 위한 EDR 및 웹 필터링 강화 필요
- 기업 내 자격 증명 보호를 위한 주기적인 비밀번호 변경 및 MFA 적용 필요
- 자산 관리 및 접근 제어 체계 강화, 외부 협력사 계정의 최소 권한 원칙 적용 필수
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 북한 연계 해커그룹, 한글 보안 앱으로 위장한 DocSwap 말웨어 유포 (0) | 2025.04.22 |
|---|---|
| 한국거래소 전산장애로 인한 전 종목 거래 정지 사건 분석 (0) | 2025.04.22 |
| 2025년 3월 3주차 사이버 보안 위협 요약 (THN Weekly Recap 기반) (0) | 2025.04.21 |
| GPU 기반 Akira 리눅스 랜섬웨어 복호화 도구 공개 (0) | 2025.04.21 |
| OSV-Scanner V2 발표, 오픈소스 취약점 스캐닝 및 자동 완화 플랫폼 진화 (0) | 2025.04.21 |