크롬 브라우저 로그인 정보를 훔치는 데 특화된 새로운 랜섬웨어 변종이 발견되었습니다.

Qilin이라는 새로운 종류의 랜섬웨어가 발견되었습니다. 이 랜섬웨어는 Google Chrome 브라우저에 저장된 계정 로그인 정보를 훔치기 위해 비교적 정교하고 사용자 정의가 가능한 전략을 사용합니다.

Sophos X-Ops 국제 보안 연구팀은 Qilin에 대한 사고 대응 과정에서 자격 증명 수집 기술을 관찰했습니다. 이는 위험한 랜섬웨어 변종의 운영 추세에 놀라운 변화가 있음을 보여줍니다.

공격 프로세스 개요

Sophos 연구원들이 분석한 공격은 Qilin 맬웨어가 다중 인증(MFA) 없이 VPN 게이트웨이의 손상된 자격 증명을 사용하여 대상 네트워크에 성공적으로 액세스하면서 시작되었습니다.

그 후 18일간 맬웨어 "동면" 상태가 이어졌는데, 이는 해커가 IAB(초기 액세스 브로커)를 통해 네트워크에 대한 액세스 권한을 구매했을 가능성이 있음을 나타냅니다. 치린이 네트워크를 매핑하고, 주요 자산을 식별하고, 정찰을 수행하는 데 시간을 보냈을 가능성이 있습니다.

처음 18일이 지나면 맬웨어는 도메인 컨트롤러로 측면 이동하고 그룹 정책 개체(GPO)를 수정하여 도메인 네트워크에 로그인한 모든 컴퓨터에서 PowerShell 스크립트('IPScanner.ps1')를 실행합니다.

이 스크립트는 일괄 스크립트('logon.bat')에 의해 실행되며 GPO에도 포함됩니다. Google Chrome에 저장된 로그인 정보를 수집하도록 설계되었습니다.

배치 스크립트는 사용자가 자신의 컴퓨터에 로그인할 때마다 실행되도록(그리고 PowerShell 스크립트를 트리거하도록) 구성됩니다. 동시에, 도난당한 자격 증명은 'SYSVOL' 파티션에 'LD' 또는 'temp.log'라는 이름으로 저장됩니다.

해당 파일을 Qilin의 명령 및 제어(C2) 서버로 보낸 후, 악성 활동을 은폐하기 위해 로컬 복사본과 관련 이벤트 로그를 삭제했습니다. 마지막으로, Qilin은 손상된 컴퓨터에 랜섬웨어 페이로드와 암호화된 데이터를 배포합니다.

또 다른 GPO와 별도의 명령 파일('run.bat')도 도메인의 모든 컴퓨터에서 랜섬웨어를 다운로드하고 실행하는 데 사용됩니다.

방어의 복잡성

Qilin의 Chrome 자격 증명에 대한 접근 방식은 랜섬웨어 공격으로부터 보호하는 것을 더욱 어렵게 만들 수 있는 우려스러운 선례를 만듭니다.

GPO는 도메인의 모든 컴퓨터에 적용되므로 사용자가 로그인한 모든 장치는 자격 증명 수집 프로세스를 거쳐야 합니다.

즉, 스크립트가 실행되는 동안 해당 컴퓨터가 도메인에 연결되어 있고 사용자가 로그인한 상태라면 스크립트가 시스템 전반의 모든 컴퓨터에서 자격 증명을 훔칠 수 있다는 의미입니다.

이처럼 광범위한 신원 정보 도용은 해커가 추가 공격을 감행할 수 있게 해주고, 그 결과 여러 플랫폼과 서비스에 걸쳐 보안 사고가 발생하여 대응 노력이 훨씬 더 복잡해질 수 있습니다. 이는 랜섬웨어 사고가 해결된 후에도 오랫동안 지속되는 지속적인 위협이 됩니다.

조직에서는 웹 브라우저에 기밀 정보를 저장하는 것을 금지하는 엄격한 정책을 구현하여 위험을 완화할 수 있습니다. 또한 다중 요소 인증을 구현하는 것은 자격 증명이 손상된 경우에도 계정이 도용되는 것을 방지하는 데 중요합니다.

마지막으로, 최소 권한과 네트워크 분할 원칙을 구현하면 위협 행위자가 손상된 네트워크 전반에 걸쳐 확산되는 능력을 크게 방해할 수 있습니다.