“Qilin” 랜섬웨어 조직이 Chrome 브라우저에 저장된 자격 증명을 탈취한 정황이 발견됐다.
보안 업체 Sophos 측은 “Qilin” 조직이 다중 인증(MFA)을 사용하지 않는 VPN 포털을 통해 내부로 침투한다고 설명했다. 이후, 18일간의 휴면 상태를 거쳐 도메인 컨트롤러로 이동하며, 기본 도메인 정책을 편집해 로그온 기반의 그룹 정책 개체(GPO)를 추가한다고 전했다. 해당 개체는 Chrome 브라우저에 저장된 자격 증명을 탈취할 PowerShell 스크립트와 이를 실행할 배치 스크립트를 포함한다고 덧붙였다. 한편, 공격자는 수집한 정보를 탈취한 후에도 도메인 컨트롤러와 이벤트 로그에서 흔적을 지운 후에 시스템 암호화와 랜섬노트 생성 등의 공격을 이어간 것으로 알려졌다.
이에 대해 Sophos 측은 브라우저 기반의 비밀번호 관리자를 사용하는 것이 안전하지 않다고 언급하면서 다중 인증 방식의 사용을 권장했다.
출처
[1] Sophos (2024.08.22) – Qilin ransomware caught stealing credentials stored in Google Chrome
'최신 보안 동향' 카테고리의 다른 글
| NFC 데이터를 훔치는 안드로이드 맬웨어 NGate 발견 (1) | 2024.08.28 |
|---|---|
| Google Chrome의 제로데이 취약점 패치 (0) | 2024.08.28 |
| 악성 광고 캠페인을 통해 배포되는 FakeBat 로더 (0) | 2024.08.21 |
| 백도어를 배포하는 EastWind 피싱 캠페인 발견 (0) | 2024.08.13 |
| 악성 브라우저 확장 프로그램을 유포한 캠페인 (0) | 2024.08.12 |