Agenda(Qilin) 랜섬웨어 공격으로 인해 Google Chrome 자격 증명이 도난됨

Agenda(Qilin) 랜섬웨어 그룹은 우려스러운 새로운 전략을 도입했습니다. Google Chrome 브라우저에 저장된 계정 자격 증명을 수집하기 위해 사용자 지정 스틸러를 배포하는 것입니다. 최근 사고 대응 활동 중에 Sophos X-Ops 팀이 관찰한 이러한 발전은 랜섬웨어 환경에서 상당한 에스컬레이션을 나타내며 이러한 공격을 방어하기가 더욱 어려워졌습니다.

공격 개요: 자세한 분석

Sophos 연구원들은 다중 인증(MFA)이 없는 VPN 포털의 자격 증명을 침해하여 네트워크에 액세스하는 것으로 시작된 Agenda/Qilin 공격을 분석했습니다. 침해 후 18일 동안 활동이 없었는데, 이는 Qilin이 초기 액세스 브로커(IAB)로부터 네트워크에 대한 액세스 권한을 구매했을 수 있음을 시사합니다. 이 휴면 기간 동안 공격자는 네트워크를 매핑하고, 중요한 자산을 식별하고, 정찰을 수행하는 데 시간을 보냈을 가능성이 높습니다.

이 정찰 기간 이후, 공격자는 도메인 컨트롤러로 측면 이동을 했고, 그곳에서 그룹 정책 개체(GPO)를 수정하여 도메인 네트워크에 로그인한 모든 머신에서 PowerShell 스크립트 'IPScanner.ps1'을 실행했습니다. 배치 파일 'logon.bat'에서 실행되는 이 스크립트는 Google Chrome에 저장된 자격 증명을 수집하도록 특별히 설계되었습니다.

크롬 자격 증명 수집: 새로운 위험 계층

배치 스크립트는 사용자가 컴퓨터에 로그인할 때마다 PowerShell 스크립트를 트리거했고, 도난당한 자격 증명은 'SYSVOL' 공유에 'LD' 또는 'temp.log'라는 이름으로 저장되었습니다. 그런 다음 이러한 파일은 Agenda/Qilin의 명령 및 제어(C2) 서버로 전송되었고, 그 후 로컬 복사본과 관련 이벤트 로그가 삭제되어 공격자의 흔적을 감췄습니다. 이후 Agenda(Qilin)는 랜섬웨어 페이로드를 배포하여 손상된 컴퓨터에서 데이터를 암호화했습니다. 별도의 GPO 및 배치 파일인 'run.bat'을 사용하여 도메인의 모든 컴퓨터에서 랜섬웨어를 다운로드하고 실행했습니다.

Agenda/Qilin이 Chrome 자격 증명을 타겟팅하는 방식은 특히 놀라운데, GPO가 도메인 내의 모든 머신에 적용되기 때문입니다. 즉, 사용자가 로그인한 모든 기기가 자격 증명 수집 프로세스의 대상이 되었습니다. 스크립트는 스크립트가 작동하는 기간 동안 도메인에 연결되어 있고 활성 사용자 로그인이 있는 한 회사 전체의 모든 머신에서 자격 증명을 훔칠 가능성이 있습니다.

의미와 완화 전략

이 방법을 통해 촉진된 광범위한 자격 증명 도난은 후속 공격, 여러 플랫폼 및 서비스에 걸친 광범위한 침해로 이어질 수 있으며 대응 노력을 상당히 복잡하게 만들 수 있습니다. 게다가 초기 랜섬웨어 사건이 해결된 후에도 지속될 수 있는 지속적인 위협을 초래합니다.

이러한 위험을 완화하기 위해 조직은 웹 브라우저에 자격 증명을 저장하는 것에 대한 엄격한 정책을 시행해야 합니다. 다중 요소 인증을 구현하는 것도 자격 증명이 침해된 경우에도 계정을 하이재킹으로부터 보호하는 데 중요합니다. 게다가 최소 권한의 원칙을 적용하고 네트워크를 분할하면 위협 행위자가 침해된 환경 내에서 측면으로 이동하는 능력을 크게 방해할 수 있습니다.

Qilin이 Scattered Spider 소셜 엔지니어링 그룹과 그들의 다중 플랫폼 역량과 연결되어 있다는 점을 감안할 때, 이러한 전술적 변화는 조직에 상당한 위험을 초래합니다. Qilin과 같은 랜섬웨어 그룹이 계속 진화함에 따라, 강력한 보안 조치를 구현하는 데 있어 경계하고 사전 예방하는 것이 그 어느 때보다 중요합니다.