CloudSEK에 따르면, 이 심각한 취약점은 세션 지속성과 쿠키 생성을 악용하여 위협 공격자가 무단으로 유효한 세션에 대한 액세스를 유지할 수 있게 해줍니다.
2023년 10월 20일, 프리즈마라는 이름의 위협 행위자가 자신의 텔레그램 채널에서 이 기법을 처음 공개했습니다. 그 이후로, 이 기법은 다양한악성 소프트웨어서비스형(MaaS) 도용자 제품군으로는 Lumma, Rhadamanthys, Stealc, Meduza, RisePro, WhiteSnake 등이 있습니다.
멀티로그인 인증 엔드포인트는 주로 사용자가 Chrome을 통해 자신의 계정(예: 프로필)에 로그인할 때 여러 서비스에서 Google 계정을 동기화하는 데 사용됩니다.
보안 연구원 파반 카틱 엠은 "루마 스틸러 코드를 리버스 엔지니어링한 결과, 이 기법이 '로그인한 크롬 프로필의 토큰과 계정 ID를 추출하기 위해 크롬의 웹데이터 토큰 서비스 테이블'을 노린다는 것을 알 수 있었다"고 말했습니다. 이 테이블에는 두 개의 주요 열, 즉 서비스(GAIA ID)와 암호화 토큰이 포함되어 있습니다."라고 설명합니다.
그런 다음 이 token:GAIA ID 쌍을 멀티로그인 엔드포인트와 결합하여 Google 인증 쿠키를 다시 생성합니다.
세 가지 방법으로 다양한 토큰-쿠키 생성 시나리오를 테스트합니다.
사용자가 브라우저를 사용하여 로그인하는 경우, 이 경우 토큰을 여러 번 사용할 수 있습니다.
사용자가 비밀번호를 변경했지만 여전히 Google에 로그인한 상태인 경우, 이 토큰은 이미 한 번 사용되어 로그인 상태를 유지했기 때문에 한 번만 사용할 수 있습니다.
사용자가 브라우저에서 로그아웃하면 토큰이 취소되고 브라우저의 로컬 저장소에서 삭제되며 다시 로그인할 때 다시 생성됩니다.
구글은 인터뷰에서 이 공격 방법의 존재를 인정했지만, 사용자가 영향을 받은 브라우저에서 로그아웃하면 도난당한 세션을 되돌릴 수 있다고 언급했습니다.
Google은 최근 세션 토큰을 훔치는 멀웨어 군에 대한 보고에 주목하고 있습니다." 쿠키와 토큰을 훔치는 멀웨어와 관련된 공격은 새로운 것이 아니며, Google은 이러한 기법을 방지하고 멀웨어의 피해를 입은 사용자의 안전을 보장하기 위해 정기적으로 방어 기능을 업그레이드하고 있습니다. 이번 사건의 경우, Google은 탐지된 모든 침해된 계정의 안전을 보장하기 위한 조치를 취했습니다.
그러나 보고서에는 사용자가 도난당한 토큰과 쿠키를 취소할 수 없다는 오해가 있다는 점에 유의해야 합니다."라고 덧붙였습니다. 이는 잘못된 정보이며, 도난당한 세션은 영향을 받은 브라우저에서 로그아웃하거나 사용자의 디바이스 페이지를 통해 원격으로 취소하여 비활성화할 수 있습니다. 계속해서 상황을 모니터링하고 필요에 따라 업데이트를 제공할 예정입니다.
피싱 및 악성코드 다운로드를 방지하기 위해 Chrome에서 향상된 안전 브라우징 기능을 사용하도록 설정하는 것이 좋습니다.
안전 권장 사항:
공격자가 비밀번호 재설정 프로세스를 사용하여 액세스 권한을 복원하지 못하도록 비밀번호를 변경하세요.
계정 활동을 모니터링하고 낯선 IP와 위치에서 의심스러운 로그인이 있는지 살펴보세요.
이 사건은 기존 계정 보안 방법의 잠재적 문제점과 사이버 범죄자들이 흔히 사용하는 정보 도용 위협에 대처하기 위한 고급 보안 솔루션의 필요성을 강조합니다.
이번 보안 사고를 통해 계정 보안에 대한 기존의 접근 방식에 도전할 수 있는 복잡한 취약점이 드러났습니다. Google의 조치도 중요하지만, 이번 사태는 오늘날 사이버 범죄자들 사이에 널리 퍼져 있는 정보 탈취 프로그램과 같이 진화하는 사이버 위협에 대응하기 위해 보다 진보된 보안 솔루션이 필요하다는 점을 강조합니다.
최고 보안 책임자의 원본 글, 복제 시 출처 표시: https://www.cncso.com/kr/malware-using-google-multilogin-exploit.html
