포스팅 내용

국내외 보안동향

트로이목마가 포함된 보안 소프트웨어, 한국 사용자에 공급망 공격 실행

Trojanized Security Software Hits South Korea Users in Supply-Chain Attack

 

사이버 보안 연구원들이 한국에서 일어나는 새로운 공급망 공격을 발견했습니다. 공격자는 원격 액세스 툴(RAT)을 타깃 시스템에 배포하기 위해 합법적인 보안 소프트웨어와 훔친 디지털 인증서를 악용합니다.

 

슬로바키아의 인터넷 보안 회사인 ESET은 이 작전이 히든 코브라(Hidden Cobra)로도 알려진 라자루스(Lazarus) 그룹의 소행일 것이라 추측했습니다. 또한 이들은 한국 사용자가 인터넷 뱅킹과 정부 서비스를 이용하기 위해 필수로 추가 보안 소프트웨어를 설치해야한다는 점을 이용했습니다.

 

이 공격은 범위가 제한되어 있지만 거래 및 지불 프로세스를 보호하기 위해 은행에서 개인 및 기업에게 발급하는 디지털 인증서와 같이 인터넷 뱅킹 관련 설치 프로그램을 통합 및 관리하도록 설계된 프로그램인 위즈베라(WIZVERA) VeraPort를 악용합니다.

 

 

<이미지 출처: https://www.welivesecurity.com/2020/11/16/lazarus-supply-chain-attack-south-korea/#single-post-fancybox-1>

 

 

해킹된 합법 사이트로부터 악성코드를 전달하기 위해 앞서 언급한 보안 소프트웨어 설치 기술을 악용하는 것 이외에도 공격자들은 불법적으로 획득한 코드 서명 인증서를 악용해 악성코드 샘플을 서명했습니다. 이 중 하나는 한국의 보안 회사의 미국 지사인 Dream Security USA에서 발행된 것입니다.

 

ESET 연구원인 Peter Kálnai는 아래와 같이 언급했습니다.

 

공격자는 라자루스 악성코드 샘플을 합법 소프트웨어로 위장했습니다. 이 샘플은 합법적인 한국의 소프트웨어와 유사한 파일 이름, 아이콘 및 리소스를 사용하고 있었습니다.”

 

공격자는 WIZVERA VeraPort를 지원하는 웹사이트를 해킹하고 특정 VeraPort 구성 옵션을 조합하여 이러한 공격을 실행할 수 있었습니다.”

 

 

<이미지 출처: https://www.welivesecurity.com/2020/11/16/lazarus-supply-chain-attack-south-korea/#single-post-fancybox-1>

 

 

ESET 연구원들은 공격자들이 합법 사이트를 악성 바이너리에 감염시켜 VeraPort 사용자에게 전달된 소프트웨어를 바꿔 치기 한 후 불법으로 획득한 코드 서명된 인증서로 이를 서명했다고 밝혔습니다.

 

“WIZVERA VeraPort 구성에는 다운로드된 바이너리가 실행되기 전 디지털 서명을 확인하는 옵션이 포함되어 있으며, 대부분 이 옵션은 기본적으로 활성화되어 있습니다.”

 

하지만 VeraPort는 이 디지털 서명이 누구의 것인지 확인하지 않고 유효한지 여부만 확인합니다.”

 

이후 이 바이너리는 컴포넌트 2개를(로더, 다운로더) 추가로 추출하는 악성코드 드롭퍼를 다운로드합니다. 로더는 윈도우 프로세스 중 하나에("svchost.exe") 다운로더를 주입합니다.

 

다운로드가 가져오는 최종 페이로드는 악성코드가 피해자의 파일 시스템에서 작전을 수행하고 공격자로부터 보조 툴을 다운로드 및 실행할 수 있도록 하는 명령어를 포함하는 RAT의 형태를 띠고 있습니다.

 

 

<이미지 출처: https://www.welivesecurity.com/2020/11/16/lazarus-supply-chain-attack-south-korea/#single-post-fancybox-1>

 

 

이번 캠페인은 4월 초 라자루스가 실행한 또 다른 공격인 ‘Operation BookCodes’의 연장선인 것으로 추측됩니다. 이 두 공격은 TTPC2 인프라에서 많은 공통점이 발견되었습니다.

 

공격자는 공급망 공격에 특히 관심을 가지고 있습니다. 동시에 컴퓨터 다수에 은밀히 악성코드를 배포할 수 있기 때문입니다.”

 

“VeraPort를 지원하는 웹사이트의 관리자는 특정 옵션을 활성화하여(: VeraPort 구성에서 바이너리의 해시 지정) 사이트가 해킹되더라도 이러한 공격을 받을 가능성을 줄일 수 있습니다.”

 

현재 알약에서는 해당 악성코드 샘플에 대해 ’Backdoor.Agent.1254696C’로 탐지 중입니다.

 

 

 

 

출처:

https://thehackernews.com/2020/11/trojanized-security-software-hits-south.html

https://www.welivesecurity.com/2020/11/16/lazarus-supply-chain-attack-south-korea/


티스토리 방명록 작성
name password homepage