몽고의 CA인 몬패스가 침해 공격에 당했다. 6개월 전부터 누군가 몬패스의 웹사이트에서 코발트 스트라이크를 유포한 것이다. 몬패스에 대한 높은 신뢰도를 이용한 공격으로, 사용자들의 몬패스 클라이언트 삭제가 요구되고 있다.
[보안뉴스 문가용 기자] 몽고의 인증서 발급 기관(CA)인 몬패스(MonPass)가 공격자들에 당했다. 공격자들의 신원은 아직 밝혀지지 않은 상황인데, 꽤나 오래 전부터 몬패스의 웹사이트를 침해하여 멀웨어를 배포해 온 것으로 분석됐다. 보안 업체 어베스트(Avast)가 이러한 사실을 밝혔다.
[이미지 = utoimage]
몬패스는 동아시아 지역의 주요 CA 중 하나로, 최소 6개월 전부터 침해 공격에 당한 것으로 분석됐다. 그리고 그 동안 공격자들은 최소 8번의 침해 공격을 실시함으로써 매번 다른 웹셸과 백도어를 사이트에 심는 데 성공했다고 한다.
몬패스는 웹사이트를 통해 인스톨러를 배포하는데, 공격자들은 이 인스톨러들을 코발트 스트라이트(Cobalt Strike)의 비컨으로 감염시켰다. 몬패스의 인스톨러가 공격자의 백도어가 된 것이다. 공식 몬패스 클라이언트 역시 침해가 됐고, 감염된 바이너리는 2월 8일부터 3월 3일 사이에 배포됐다.
어베스트의 연구원들은 몬패스의 웹사이트에서 총 8가지 종류의 웹셸과 백도어를 발견했다. 이 악성 요소들은 몬패스의 공공 웹 서버에 탑재되어 있었다. 어베스트는 공격 배후에 있는 세력을 정확히 언급하지 않았지만, 발표한 IoC와 이번 공격 관련 기술 세부 내용들은 이전 다른 보안 업체들이 발표한 윈티(Winnti) 그룹의 그것과 유사하다. 윈티 그룹은 중국의 공격 단체로 알려져 있다.
악성 인스톨러를 몬패스 사용자가 다운로드 받아 실행시키면 정상적인 몬패스 인스톨러가 공식 웹사이트를 통해 다운로드 되고 곧바로 실행된다. 이 과정이 있기 때문에 사용자는 ‘수상하다’는 낌새를 채지 못한다. 하지만 이는 표면에서 벌어지는 일일뿐, 그 뒤에서는 사용자 몰래 비트맵 이미지가 하나 다운로드 된다. 이 이미지는 스테가노그래피 기법으로 만들어진 것으로 악성 코드를 내포하고 있다. 이 코드는 다름 아닌 코발트 스트라이크 비컨이다.
공격자들은 몬패스가 가지고 있는 위상, 즉 높은 신뢰도를 악용하기 위해 이번 공격을 진행한 것으로 분석된다. 동아시아 지역 내에서 몬패스를 신뢰하는 많은 사용자가 있다는 걸 알고 있었기에 몬패스를 집중 공략하고, 이를 통해 많은 조직 및 사용자들을 침해하는 데 성공했다는 뜻이다. 어베스트는 몬패스에 이러한 사실을 알리고, 몬패스는 현재 서버를 보완하기 위한 절차를 밟고 있다.
피해 규모는 아직 명확히 밝혀지지 않은 상황이다. 다만 몬패스에서부터 2월 8일과 3월 3일 사이에 인스톨러를 다운로드 받은 사람들이라면 전부 침해됐을 가능성이 높다고 한다. 해당되는 사람들은 몬패스 클라이언트를 삭제하고 백도어가 시스템에 있는지 점검할 필요가 있다.
3줄 요약
1. 동아시아의 주요 인증서 발급 기관인 몬패스, 웹사이트 침해 당함.
2. 공격자들, 6개월 전부터 공격 실시함으로써 8개 백도어 심는 데 성공.
3. 2월 8일과 3월 3일 사이에 인스톨러 다운로드 받아 설치한 사람들은 전부 피해자.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 몽고의 인증서 발급 기관(CA)인 몬패스(MonPass)가 공격자들에 당했다. 공격자들의 신원은 아직 밝혀지지 않은 상황인데, 꽤나 오래 전부터 몬패스의 웹사이트를 침해하여 멀웨어를 배포해 온 것으로 분석됐다. 보안 업체 어베스트(Avast)가 이러한 사실을 밝혔다.
[이미지 = utoimage]
몬패스는 동아시아 지역의 주요 CA 중 하나로, 최소 6개월 전부터 침해 공격에 당한 것으로 분석됐다. 그리고 그 동안 공격자들은 최소 8번의 침해 공격을 실시함으로써 매번 다른 웹셸과 백도어를 사이트에 심는 데 성공했다고 한다.
몬패스는 웹사이트를 통해 인스톨러를 배포하는데, 공격자들은 이 인스톨러들을 코발트 스트라이트(Cobalt Strike)의 비컨으로 감염시켰다. 몬패스의 인스톨러가 공격자의 백도어가 된 것이다. 공식 몬패스 클라이언트 역시 침해가 됐고, 감염된 바이너리는 2월 8일부터 3월 3일 사이에 배포됐다.
어베스트의 연구원들은 몬패스의 웹사이트에서 총 8가지 종류의 웹셸과 백도어를 발견했다. 이 악성 요소들은 몬패스의 공공 웹 서버에 탑재되어 있었다. 어베스트는 공격 배후에 있는 세력을 정확히 언급하지 않았지만, 발표한 IoC와 이번 공격 관련 기술 세부 내용들은 이전 다른 보안 업체들이 발표한 윈티(Winnti) 그룹의 그것과 유사하다. 윈티 그룹은 중국의 공격 단체로 알려져 있다.
악성 인스톨러를 몬패스 사용자가 다운로드 받아 실행시키면 정상적인 몬패스 인스톨러가 공식 웹사이트를 통해 다운로드 되고 곧바로 실행된다. 이 과정이 있기 때문에 사용자는 ‘수상하다’는 낌새를 채지 못한다. 하지만 이는 표면에서 벌어지는 일일뿐, 그 뒤에서는 사용자 몰래 비트맵 이미지가 하나 다운로드 된다. 이 이미지는 스테가노그래피 기법으로 만들어진 것으로 악성 코드를 내포하고 있다. 이 코드는 다름 아닌 코발트 스트라이크 비컨이다.
공격자들은 몬패스가 가지고 있는 위상, 즉 높은 신뢰도를 악용하기 위해 이번 공격을 진행한 것으로 분석된다. 동아시아 지역 내에서 몬패스를 신뢰하는 많은 사용자가 있다는 걸 알고 있었기에 몬패스를 집중 공략하고, 이를 통해 많은 조직 및 사용자들을 침해하는 데 성공했다는 뜻이다. 어베스트는 몬패스에 이러한 사실을 알리고, 몬패스는 현재 서버를 보완하기 위한 절차를 밟고 있다.
피해 규모는 아직 명확히 밝혀지지 않은 상황이다. 다만 몬패스에서부터 2월 8일과 3월 3일 사이에 인스톨러를 다운로드 받은 사람들이라면 전부 침해됐을 가능성이 높다고 한다. 해당되는 사람들은 몬패스 클라이언트를 삭제하고 백도어가 시스템에 있는지 점검할 필요가 있다.
3줄 요약
1. 동아시아의 주요 인증서 발급 기관인 몬패스, 웹사이트 침해 당함.
2. 공격자들, 6개월 전부터 공격 실시함으로써 8개 백도어 심는 데 성공.
3. 2월 8일과 3월 3일 사이에 인스톨러 다운로드 받아 설치한 사람들은 전부 피해자.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
