잉카인터넷 시큐리티대응센터 블로그

“Qilin” 랜섬웨어 조직이 Chrome 브라우저에 저장된 자격 증명을 탈취한 정황이 발견됐다. 보안 업체 Sophos 측은 “Qilin” 조직이 다중 인증(MFA)을 사용하지 않는 VPN 포털을 통해 내부로 침투한다고 설명했다. 이후, 18일간의 휴면 상태를 거쳐 도메인 컨트롤러로 이동하며, 기본 도메인 정책을 편집해 로그온 기반의 그룹 정책 개체(GPO)를 추가한다고 전했다. 해당 개체는 Chrome 브라우저에 저장된 자격 증명을 탈취할 PowerShell 스크립트와 이를 실행할 배치 스크립트를 포함한다고 덧붙였다. 한편, 공격자는 수집한 정보를 탈취한 후에도 도메인 컨트롤러와 이벤트 로그에서 흔적을 지운 후에 시스템 암호화와 랜섬노트 생성 등의 공격을 이어간 것으로 알려졌다. 이에 대해 Sopho..

최근 리눅스 버전의 “Qilin” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 2022년 8월 경, "Agenda"라는 이름으로 등장했으며, 한 달 후 "Qilin"으로 이름이 변경돼 현재까지 활동 중이다. 이번 변종은 주로 VMWare ESXi 서버를 공격하며 가상화 및 에뮬레이터와 관련된 프로세스의 실행을 종료한다. 또한, ESXi 서버 내에서 실행 중인 가상 환경의 스냅샷을 삭제하고 종료하는 기능도 포함됐다. 여기에 ESXi 서버의 메모리 힙 고갈 버그에 대한 임시 조치 방안과 버퍼 캐시 설정을 변경하는 명령도 추가됐다. “Qilin” 랜섬웨어를 실행하면 지정된 경로의 파일을 암호화하고 암호화된 파일은 파일 이름에 “.o7LO3e8F9J” 확장자를 추가한다. 해당 랜섬웨어를 실행할 때 -p 옵션을 사용하면..