구글의 문서화되지 않은 OAuth 엔드포인트인 'MultiLogin'이 정보를 도용하는 멀웨어군에 의해 악용되고 있습니다. 이들 멀웨어는 만료된 인증 쿠키를 복원하고 사용자 계정에 로그인하는 데 이 엔드포인트를 사용하며, 이는 계정 비밀번호가 재설정되었을지라도 가능합니다. 이러한 쿠키는 원래 제한된 수명을 가지도록 설계되어 있어, 도난당한 경우에는 계정에 무한정 로그인하는 데 사용될 수 없습니다. 그러나 Lumma와 Rhadamanthys와 같은 두 가지 정보 도용자는 공격에서 도난당한 만료된 구글 인증 쿠키를 복원할 수 있다고 주장했습니다.
CloudSEK 연구원들이 발표한 오늘의 보고서는 이 제로데이 취약점이 어떻게 작동하는지에 대해 더 많은 정보를 제공하며, 그 악용의 규모에 대해 심각한 그림을 그립니다. 이 취약점은 2023년 10월 20일에 PRISMA라는 위협 행위자가 텔레그램에 게시하면서 처음 공개되었는데, 그는 만료된 구글 인증 쿠키를 복원하는 방법을 발견했다고 주장했습니다. CloudSEK는 이 취약점을 역공학적으로 분석한 결과, 이는 계정 ID와 auth-login 토큰의 벡터를 받아들여 다른 구글 서비스 간에 계정을 동기화하는 데 사용되는 'MultiLogin'이라는 구글 OAuth 엔드포인트를 사용한다는 것을 발견했습니다.
이 엔드포인트를 악용하는 정보 도용 멀웨어는 구글 계정에 로그인한 크롬 프로필의 토큰과 계정 ID를 추출합니다. 이 도난당한 정보에는 서비스(GAIA ID)와 encrypted_token이라는 두 가지 중요한 데이터가 포함되어 있습니다. 이 암호화된 토큰은 크롬의 'Local State' 파일에 저장된 암호화를 사용하여 복호화됩니다. 이 동일한 암호화 키는 브라우저에 저장된 비밀번호를 복호화하는 데도 사용됩니다. 위협 행위자들은 도난당한 토큰:GAIA 쌍을 MultiLogin 엔드포인트와 함께 사용하여 만료된 구글 서비스 쿠키를 재생성하고 손상된 계정에 대한 지속적인 접근을 유지할 수 있습니다.
요약
- 구글의 문서화되지 않은 OAuth 엔드포인트인 'MultiLogin'이 정보를 도용하는 맬웨어 가족들에 의해 악용되고 있다.
- 이 취약점은 2023년 10월 20일에 PRISMA라는 위협 행위자가 텔레그램에 게시하면서 처음 공개되었다.
- 위협 행위자들은 도난당한 토큰:GAIA 쌍을 MultiLogin 엔드포인트와 함께 사용하여 만료된 구글 서비스 쿠키를 재생성하고 손상된 계정에 대한 지속적인 접근을 유지할 수 있다.
Reference
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.