Qilin 랜섬웨어 그룹

치린(Agenda, Gold Feather, Water Galura로도 추적됨)은 현재 가장 활발하게 활동하는 랜섬웨어 서비스형(RaaS) 조직 중 하나로 성장했습니다. 2025년 초부터 이 그룹은 매달 40건 이상의 피해자를 등록해 왔으며(1월만 예외), 6월에는 약 100건의 유출 사이트 등록을 기록하며 정점을 찍었고, 2025년 8월과 9월에는 각각 84건의 피해자를 기록했습니다. 2022년 7월경부터 활동해 온 치린의 속도와 전술은 전 세계 기업들에게 고위험 활동가로 자리매김했습니다.

누가 타격을 입었는가 - 지리와 산업

사고 원격 측정 분석 결과, 치린의 피해자들은 북미와 서유럽에 집중되어 있으며, 미국, 캐나다, 영국, 프랑스, 독일이 가장 큰 피해를 입은 국가입니다. 이 단체는 특정 업종을 선호하는데, 제조업이 관측 대상의 약 23%, 전문 및 과학 서비스가 약 18%, 도매업이 약 10%를 차지합니다.

초기 접근 및 조기 발판

조사관들은 많은 Qilin 계열사 침입이 다크웹 저장소에서 유출된 관리 자격 증명으로 시작된다고 보고 있습니다. 공격자는 이 자격 증명을 사용하여 VPN 인터페이스를 통해 로그인한 후 도메인 컨트롤러 및 기타 손상된 엔드포인트에 RDP 연결을 수행합니다. 이후 환경 매핑 및 심층 정찰로 이동합니다.

자격 증명 수집 및 툴링

Qilin 캠페인은 자격 증명 수집 도구와 기술을 광범위하게 사용합니다. 운영자와 제휴사는 WebBrowserPassView.exe, BypassCredGuard.exe, SharpDecryptPwd와 같은 유틸리티와 함께 Mimikatz를 실행하여 브라우저, 시스템 저장소 및 기타 애플리케이션에서 기밀 정보를 추출합니다. 수집된 자격 증명은 Visual Basic 스크립트를 사용하여 외부 SMTP 서버로 유출됩니다. 실제 환경에서 관찰된 Mimikatz 사용 사례에는 다음과 같은 작업이 포함됩니다.

• Windows 이벤트 로그를 지우고 그 밖의 흔적을 지웁니다.
• SeDebugPrivilege를 활성화합니다.
• SQLite 데이터베이스에서 저장된 Chrome 비밀번호를 추출합니다.
• 이전 로그온에서 자격 증명을 복구합니다.
• RDP, SSH 및 Citrix에 대한 수확 구성 및 자격 증명.

토지에서 생산된 농산물과 합법적인 도구의 남용

위협 행위자는 명백한 맬웨어와 합법적인 시스템 유틸리티, 잘 알려진 관리 도구를 섞어 침투합니다. 이들은 mspaint.exe, notepad.exe, iexplore.exe로 파일을 열어 민감한 정보를 수동으로 검사하고, 진짜 Cyberduck 클라이언트를 사용하여 악의적인 의도를 숨기고 선택한 파일을 원격 서버로 전송하는 것으로 나타났습니다.

도난당한 자격 증명이 활용되는 방식

자격 증명을 확보하면 Qilin 공격자는 권한을 상승시키고 측면으로 확산합니다. 상승된 액세스 권한은 AnyDesk, Chrome Remote Desktop, Distant Desktop, GoToDesk, QuickAssist, ScreenConnect 등 다양한 원격 모니터링 및 관리(RMM) 및 원격 액세스 제품을 설치하는 데 사용되었지만, 연구원(Talos)은 각 제품이 주로 측면 이동에 사용되었는지, 아니면 지속적인 원격 제어에 사용되었는지 항상 확인할 수는 없었습니다.

회피, 지속성 및 착취 후

탐지를 피하기 위해 공격자는 AMSI를 비활성화하고, TLS 인증서 유효성 검사를 끄고, 제한된 관리자 모드를 활성화하는 PowerShell 시퀀스를 실행합니다. 또한 dark‑kill 및 HRSword와 같은 킬 스위치 방식의 유틸리티를 사용하여 보안 제품을 종료합니다. 지속성과 은밀한 명령 및 제어를 위해 Cobalt Strike와 SystemBC를 사용합니다.

랜섬웨어 배포 및 정리

마지막 단계는 Qilin 랜섬웨어를 배포하는 것입니다. 파일이 암호화되고, 랜섬 노트가 암호화된 폴더에 저장되고, Windows 이벤트 로그가 지워지고, VSS(볼륨 섀도 복사본 서비스)에서 생성된 모든 섀도 복사본이 삭제되어 복구 작업이 무산됩니다.

고급 하이브리드 공격 체인(Windows의 Linux 바이너리 + BYOVD)
일부 정교한 Qilin 공격 사건은 여러 가지 첨단 기법을 결합했습니다. 공격자는 Linux로 컴파일된 랜섬웨어 바이너리를 배포하여 Windows 호스트에서 실행하고, 해당 페이로드를 '취약한 드라이버 직접 설치(BYOVD)' 기법과 결합하여 방어 시스템을 무력화하고, 합법적인 IT 관리 도구를 사용하여 환경 전반을 이동하며 페이로드를 실행했습니다. 이러한 공격에서 eskle.sys 드라이버는 보안 제어 기능을 무력화하고, 프로세스를 종료하고, 탐지를 회피하는 데 사용되는 취약한 드라이버 구성 요소로 확인되었습니다.

백업 타겟팅 및 맞춤형 자격 증명 도용

Qilin은 Veeam 백업 인프라를 특별히 공격 대상으로 삼았습니다. 공격자는 백업 데이터베이스에 특수 자격 증명 추출 도구를 사용하여 자격 증명을 수집하고, 조직의 재해 복구 플랫폼을 체계적으로 침해한 후 랜섬웨어를 유포하여 피해자의 위험을 크게 높였습니다.

피싱 및 가짜 CAPTCHA 전달 메커니즘

유효한 계정 남용 외에도, 특정 침입은 스피어피싱이나 Cloudflare R2에 호스팅된 ClickFix 스타일의 가짜 CAPTCHA 페이지를 통해 시작되었습니다. 이러한 페이지는 자격 증명을 수집하는 정보 탈취 페이로드를 전송하는 것으로 보이며, 이 페이로드는 초기 네트워크 접근 권한을 획득하는 데 재사용됩니다.

관찰된 주요 기술과 인프라는 다음과 같습니다.

• 원격 액세스와 명령 실행을 활성화하기 위해 SOCKS 프록시 DLL을 배포합니다.
• ScreenConnect를 악용하여 탐색 명령과 네트워크 스캐닝 도구를 실행하여 측면 이동 대상을 찾습니다.
• 여러 데이터베이스에서 백업 자격 증명을 추출하기 위해 Veeam 백업 시스템을 타겟팅합니다.
• BYOVD 공격에서 eskle.sys 드라이버를 사용하여 보안 소프트웨어를 무력화하고 방어 프로세스를 종료합니다.
• PuTTY SSH 클라이언트를 배포하여 Linux 호스트로 측면 이동합니다.
• COROXY 백도어를 통해 C2 트래픽을 난독화하기 위해 다양한 디렉토리에서 SOCKS 프록시 인스턴스를 실행합니다.
• WinSCP를 사용하여 Linux 랜섬웨어 바이너리를 Windows 시스템으로 이동합니다.
• Splashtop Remote의 SRManager.exe를 활용하여 Linux 랜섬웨어 바이너리를 Windows 컴퓨터에서 직접 실행합니다.

크로스 플랫폼 영향 및 가상화 타겟팅

Linux 바이너리는 크로스 플랫폼 기능을 제공합니다. 단일 페이로드가 특정 환경의 Linux 및 Windows 시스템 모두에 영향을 미칠 수 있습니다. 최근 Qilin 샘플이 Nutanix AHV 환경을 탐지하도록 업데이트되었으며, 이는 해당 그룹이 기존 VMware 배포 환경을 넘어 최신 하이퍼컨버지드 인프라까지 공격 대상을 확대하고 있음을 보여줍니다.

요약

치린의 공격은 자격 증명 도용, 합법적인 관리 도구의 오용, BYOVD(개인정보보호책임자) 기법, 백업 시스템에 대한 표적 공격, 그리고 크로스 플랫폼 랜섬웨어를 결합하여 피해를 극대화하고 탐지를 피합니다. 방어자는 자격 증명 위생 관리, 원격 액세스 인터페이스의 다중 인증, 백업 시스템 세분화, 합법적인 원격 관리 도구의 비정상적인 사용에 대한 엄격한 모니터링, 그리고 드라이버 기반 BYOVD 활동을 탐지하는 제어를 우선시해야 합니다. 이러한 조치는 수집된 자격 증명이나 단일 침해 지점이 본격적인 랜섬웨어 배포로 이어질 가능성을 줄여줍니다.