크로스 도메인 공격은 다양한 복잡성을 지닌다. 크라우드스트라이크는 도난당한 인증 정보를 활용해 클라우드 환경에 침입하고 엔드포인트를 가로질러 이동하는 공격 패턴이 증가한 것을 파악했다. 이러한 공격은 정교한 피싱 기법과 인포스틸러의 확산으로 더욱 활발해졌다. 위협 행위자들은 인증 정보를 획득하거나 도용한 후, 설정이 취약한 클라우드 환경에 직접 접근해 방어가 철저한 엔드포인트를 우회한다. 또 맬웨어 대신 원격 모니터링 및 관리(RMM) 도구를 사용해 공격 탐지 및 차단을 더욱 어렵게 만든다.
크로스 도메인 공격에 능숙한 ‘스캐터드 스파이더’(Scattered Spider)그룹은 2023년부터 표적 클라우드 환경 내에서 스피어 피싱, 정책 수정, 비밀번호 관리자에 대한 접근을 자주 활용하는 정교한 크로스 도메인 수법을 사용한 것으로 분석된다. 지난 5월, 크라우드스트라이크는 스캐터드 스파이더가 클라우드 서비스 가상 머신(VM) 관리 에이전트를 통해 클라우드 호스팅 VM 인스턴스에 발판을 마련하는 과정을 포착했다. 위협 행위자들은 피싱 캠페인을 통해 기존 자격 증명을 탈취해 클라우드 컨트롤 플레인에 대한 접근 권한을 얻었으며, 내부에 진입한 이후에는 지속적으로 활동을 이어갔다.
이 공격은 세 가지 운영 도메인(이메일, 클라우드 관리, VM 자체)에 걸쳐 수행됐다. 그 결과 각 도메인에서 확인 가능한 흔적이 최소화되어 기존의 탐지 방법으로는 식별이 어려웠다. 이러한 공격을 식별하기 위해서는 광범위한 위협 인텔리전스와 스캐터드 스파이더의 전술에 대한 사전 지식이 필요했다. 위협 헌터들은 클라우드 컨트롤 플레인의 원격 측정 데이터와 VM 내 탐지 정보를 연계해 침입을 인식하고 차단할 수 있었다.
