국내 게임업체·게임 보안업체를 노린 APT 그룹의 공급망 공격
유효한 인증서 탈취해 백도어 및 각종 해킹도구 서명
[보안뉴스 박은주 기자] 지난 4, 5월 국내 게임사를 대상으로 공급망 공격이 감행된 정황이 드러났다. 공식 사이트를 통해 내려받은 게임에 악성코드가 담겨 있었고, 궁극적으로 피해자는 시스템 제어권을 잃었다.
[이미지=gettyimagesbank]
ASEC(안랩 시큐리티 인텔리전스 센터)는 국내 게임 보안업체와 게임 회사를 대상으로 한 APT 공격이자 공급망 공격이라고 설명했다. 게임 보안업체 보안 모듈에 악성 루틴이 삽입된 채 배포됐고, 이를 설치한 시스템에 원격제어 악성코드가 설치된 것이다.
특히 해당 프로그램 제작사의 유효 인증서로 서명한 게임과 악성코드가 유포됐다는 특징이 있다. 해당 공격에 악용한 인증서는 2017년부터 지속해서 탈취돼 공격에 사용되고 있는 것으로 드러났다. ZxShell이나 미미카츠(Mimikat), 프린트스푸퍼(PrintSpoofer) 악성코드 서명에 사용됐다.
ASEC에 따르면 중국을 기반으로 활동하는 APT 27(BRONZE UNION, EMISSARY PANDA, Iron Tiger, Lucky Mouse 등) 공격그룹이 ZxShell 악성코드를 중국 소프트웨어 개발 업체 항저우 비엔펑 네트워크 기술 회사(Hangzhou Bianfeng Networking Technology)의 유효한 인증서로 서명해 공격에 활용했다. 이는 국내 게임업체의 인증서로 서명된 ZxShell과 동일한 형태를 띠었다.
공격에 사용된 ZxShell은 드로퍼에 의해 서비스 형태로 설치됐다. 원본 ZxShell과 비교했을 때 여러 기능이 제거된 채 △원격 쉘 △파일 관리 △포트 포워딩 △중지 △종료 등 기능으로 감염 시스템을 제어했다.
공격자는 국내 게임사의 유효 인증서로 ZxShell 백도어뿐만 아니라 미미카츠, 프린트스푸퍼, Nirsoft의 Dialupass 등 권한 상승 및 자격 증명 탈취 도구에도 서명해 공격에 악용했다.
▲게임 보안 프로그램을 이용한 공급망 공격 흐름도[자료=ASEC]
공격자가 삽입한 코드는 파워쉘 명령을 실행해 특정 주소로 난독화된 스크립트를 내려받아 실행한다. 결과적으로 피해 시스템이 공격자가 지정한 특정 IP일 경우 시스템 원격제어 악성코드인 렘코스 RAT(Remcos RAT)을 내려받게 된다.
2024년 8월 국내 게임 개발 업체의 인증서가 ‘OOO Arena’라는 게임의 설치 프로그램 서명에 사용된 사례도 발견됐다. 해당 프로그램은 일반 악성코드는 아니지만 다양한 사용자 정보를 탈취하고, 업데이트 과정에서 변조 모듈의 C&C 주소와 같은 주소를 사용하고 있다.
탈취된 인증서가 백도어를 포함한 다양한 악성코드 서명, 외국 게임 클라이언트 서명으로도 남용되고 있다는 정황이 드러났다. 탈취된 인증서가 다양한 공격자에게 사용되고 있을 가능성도 존재하는 것.
이처럼 최근 소프트웨어 공급망 공격 사례가 증가하고 있어 각별한 주의가 요구된다. 공급망 공격은 개인과 모든 조직에 영향을 끼치는 파급력이 큰 공격으로 각별한 주의가 요구된다.
ASEC는 “모든 소프트웨어 인프라가 공격 대상이 되기 때문에 공격을 인지하고 방어하는 데 어려움이 존재한다”며 “취약점이 공개되거나 공급망 공격을 인지한 이후에도 적절한 조치가 진행되지 못한 사례가 적지 않다”고 공급망 공격 방어에 대한 현실적인 어려움을 설명했다. 더불어 “추후 SBOM이 도입되고 정부와 기업이 협력한다면 공급망 보안을 강화하고 보다 안전한 디지털 환경을 구축하는 첫걸음이 될 것”이라고 전망했다.
[박은주 기자(boan5@boannews.com)]
유효한 인증서 탈취해 백도어 및 각종 해킹도구 서명
[보안뉴스 박은주 기자] 지난 4, 5월 국내 게임사를 대상으로 공급망 공격이 감행된 정황이 드러났다. 공식 사이트를 통해 내려받은 게임에 악성코드가 담겨 있었고, 궁극적으로 피해자는 시스템 제어권을 잃었다.
[이미지=gettyimagesbank]
ASEC(안랩 시큐리티 인텔리전스 센터)는 국내 게임 보안업체와 게임 회사를 대상으로 한 APT 공격이자 공급망 공격이라고 설명했다. 게임 보안업체 보안 모듈에 악성 루틴이 삽입된 채 배포됐고, 이를 설치한 시스템에 원격제어 악성코드가 설치된 것이다.
특히 해당 프로그램 제작사의 유효 인증서로 서명한 게임과 악성코드가 유포됐다는 특징이 있다. 해당 공격에 악용한 인증서는 2017년부터 지속해서 탈취돼 공격에 사용되고 있는 것으로 드러났다. ZxShell이나 미미카츠(Mimikat), 프린트스푸퍼(PrintSpoofer) 악성코드 서명에 사용됐다.
ASEC에 따르면 중국을 기반으로 활동하는 APT 27(BRONZE UNION, EMISSARY PANDA, Iron Tiger, Lucky Mouse 등) 공격그룹이 ZxShell 악성코드를 중국 소프트웨어 개발 업체 항저우 비엔펑 네트워크 기술 회사(Hangzhou Bianfeng Networking Technology)의 유효한 인증서로 서명해 공격에 활용했다. 이는 국내 게임업체의 인증서로 서명된 ZxShell과 동일한 형태를 띠었다.
공격에 사용된 ZxShell은 드로퍼에 의해 서비스 형태로 설치됐다. 원본 ZxShell과 비교했을 때 여러 기능이 제거된 채 △원격 쉘 △파일 관리 △포트 포워딩 △중지 △종료 등 기능으로 감염 시스템을 제어했다.
공격자는 국내 게임사의 유효 인증서로 ZxShell 백도어뿐만 아니라 미미카츠, 프린트스푸퍼, Nirsoft의 Dialupass 등 권한 상승 및 자격 증명 탈취 도구에도 서명해 공격에 악용했다.
▲게임 보안 프로그램을 이용한 공급망 공격 흐름도[자료=ASEC]
공격자가 삽입한 코드는 파워쉘 명령을 실행해 특정 주소로 난독화된 스크립트를 내려받아 실행한다. 결과적으로 피해 시스템이 공격자가 지정한 특정 IP일 경우 시스템 원격제어 악성코드인 렘코스 RAT(Remcos RAT)을 내려받게 된다.
2024년 8월 국내 게임 개발 업체의 인증서가 ‘OOO Arena’라는 게임의 설치 프로그램 서명에 사용된 사례도 발견됐다. 해당 프로그램은 일반 악성코드는 아니지만 다양한 사용자 정보를 탈취하고, 업데이트 과정에서 변조 모듈의 C&C 주소와 같은 주소를 사용하고 있다.
탈취된 인증서가 백도어를 포함한 다양한 악성코드 서명, 외국 게임 클라이언트 서명으로도 남용되고 있다는 정황이 드러났다. 탈취된 인증서가 다양한 공격자에게 사용되고 있을 가능성도 존재하는 것.
이처럼 최근 소프트웨어 공급망 공격 사례가 증가하고 있어 각별한 주의가 요구된다. 공급망 공격은 개인과 모든 조직에 영향을 끼치는 파급력이 큰 공격으로 각별한 주의가 요구된다.
ASEC는 “모든 소프트웨어 인프라가 공격 대상이 되기 때문에 공격을 인지하고 방어하는 데 어려움이 존재한다”며 “취약점이 공개되거나 공급망 공격을 인지한 이후에도 적절한 조치가 진행되지 못한 사례가 적지 않다”고 공급망 공격 방어에 대한 현실적인 어려움을 설명했다. 더불어 “추후 SBOM이 도입되고 정부와 기업이 협력한다면 공급망 보안을 강화하고 보다 안전한 디지털 환경을 구축하는 첫걸음이 될 것”이라고 전망했다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
