최근 ‘Edgecution’이라는 악성 Microsoft Edge 확장 프로그램이 랜섬웨어 공격에 사용되어, 브라우저 샌드박스를 우회하고 Python 기반 백도어를 설치하는 사례가 보고되었다. 공격자는 Chrome Native Messaging 프로토콜을 악용하여 브라우저 확장 프로그램이 로컬 시스템과 상호작용할 수 있도록 하였으며, 이를 통해 악성 확장 프로그램이 별도의 프로세스로 실행되는 네이티브 애플리케이션과 통신할 수 있게 하였다.
공격은 주로 Microsoft Teams에서 IT 지원을 사칭한 공격자가 직원들에게 스팸 필터 업데이트를 가장한 가짜 페이지로 유도하면서 시작된다. Zscaler 연구진에 따르면, Edgecution은 Payouts Kings 랜섬웨어와 연계된 초기 접근 브로커(IAB)에 의해 배포되고 있으며, 피해자들은 가짜 Microsoft “Outlook Updates Management Console”에서 제공하는 다운로드 버튼을 클릭함으로써 악성 구성 요소를 다운로드하거나, 스크립트를 클립보드에 복사하거나, Microsoft 365 및 Outlook 비밀번호를 입력하도록 유도된다.
Edgecution은 악성 Edge 확장 프로그램과 Python 기반 백도어로 구성되어 있다. 확장 프로그램은 공격자의 C2 서버와 통신하며, Python 백도어는 쉘 명령 실행, 파일 작성, 시스템 정보 수집 등 다양한 명령을 수행할 수 있다. 연구진은 이러한 공격 방식이 랜섬웨어 조직의 정교함을 보여주며, 조직에서는 브라우저 확장 프로그램 모니터링과 네이티브 메시징 호스트 구성에 대한 엄격한 통제를 통해 위험을 줄여야 한다고 권고하였다.
요약
- Edgecution 악성 Edge 확장 프로그램이 브라우저 샌드박스를 우회해 Python 백도어를 설치하는 공격이 발생하였다.
- 공격자는 IT 지원을 사칭해 가짜 Microsoft 사이트로 유도, 악성 파일 및 스크립트 실행을 유도하였다.
- 악성 확장 프로그램과 Python 백도어가 연동되어 다양한 시스템 명령을 수행할 수 있다.
- Zscaler는 이 공격이 랜섬웨어 조직의 정교함을 보여준다고 분석하였다.
- 조직은 브라우저 확장 프로그램과 네이티브 메시징 호스트에 대한 보안 통제를 강화해야 한다.
Reference
※ 이 글은 생성형 AI(gpt4.1)에 의해 요약되었습니다.