사이버 보안의 글로벌 리더인 ESET(이셋)의 국내 법인 이셋코리아(www.estc.co.kr)는 새로운 공급망 공격을 발견했다고 밝히며 주의를 당부했습니다.

 

며칠 전 ESET 연구원들은 PC Mac Android 에뮬레이터인 NoxPlayer의 업데이트 메커니즘을 손상시키는 새로운 공급망 공격을 발견했습니다. 세 가지 맬웨어 군이 맞춤형 악성 업데이트에서 선별된 피해자들에게 배포되는 모습이 포착됐고, 금전적 이득을 챙길 기미는 보이지 않고 오히려 사이버 스파이 기능만 확인되었습니다. ESET은 이 악성 활동을 NightScout 라고 명명했습니다.

 

BigNox는 홍콩에 본사를 둔 회사로, 주로 NoxPlayer라고하는 PC Mac Android 에뮬레이터와 같은 다양한 제품을 제공하고 있습니다. 이 회사는 최소 20개의 다른 언어를 사용하는 150개 이상의 국가에서 1 5천만명 이상의 사용자가 있다고 주장합니다. 그렇긴 하지만 BigNox의 팔로워 기반은 주로 아시아 국가에 있습니다.

 

NightScout을 공개한 ESET 연구원 Ignacio Sanmillan "ESET 원격 분석을 기반으로 2020 9월에 첫 번째 감염 지표를 확인했습니다. 이번 주에 명백하게 악성 활동을 발견하고 우리가 이를 BigNox에게 알려줄 때까지 활동이 지속되었습니다라고 말했습니다.

 

NightScout ESET 연구원들이 불과 몇명의 피해자만 식별할 수 있는 고도로 표적화 된 작업입니다. 확인 된 피해자는 대만, 홍콩, 스리랑카에 소재하고 있습니다. Sanmillan, "문제의 감염된 소프트웨어와 감시기능을 보여주는 악성 코드를 바탕으로 이것이 게임 커뮤니티에 관련된 대상에 대한 인텔리전스 수집의 의도를 나타낼 수 있다고 생각합니다."라고 설명합니다.

 

지도 - NightScout의 피해자 분포

이 특정 공급망 공격에서 NoxPlayer 업데이트 메커니즘은 위협의 벡터 역할을 했습니다. 실행시 NoxPlayer가 최신 버전의 소프트웨어를 감지하면 사용자에게 설치 옵션을 제공하는 메시지 상자를 표시하여 맬웨어를 전달합니다.

 

“우리는 BigNox의 인프라가 맬웨어를 호스팅하기 위해 손상되었다는 것과 API 인프라가 손상되었을 수 있음을 시사하는 충분한 증거를 가지고 있습니다. BigNox 업데이터가 공격자가 제어하는 ​​서버에서 추가 페이로드를 다운로드한 경우도 있습니다.”라고 Sanmillan은 덧붙였습니다.

 

ESET 연구원은 총 3개의 서로 다른 악성 업데이트 변종을 관찰했습니다. 첫 번째 악성 업데이트 변종은 이전에 문서화되지 않은 것으로 보이며 피해자를 모니터링할 수 있는 충분한 기능을 갖추고 있습니다. 두 번째 업데이트 변형은 첫 번째와 일치하여 합법적인 BigNox 인프라에서 다운로드되는 것으로 확인되었습니다. 배포된 최종 페이로드는 위협 행위자 사이에서도 널리 사용되는 Gh0st RAT (키로거 기능 포함)의 인스턴스였습니다.

 

세 번째 변종인 PoisonIvy RAT은 사이버 범죄자들에게 인기있는 원격 액세스 도구로, 초기 악성 업데이트 이후 활동에서만 발견되었으며 공격자가 제어하는 인프라에서 다운로드되었습니다.

 

ESET은 연구원들이 과거에 모니터링한 로더와 NightScout에서 사용된 로더 간의 유사성을 발견했습니다.

 

우리가 볼 수 있는 유사점은 2018년 미얀마 대통령 사무실 웹 사이트 공급망 손상에서 발견된 사례와 2020년 초 홍콩 대학에 침입한 사례와 관련이 있습니다.

 

“침입의 경우 안전하게 보호하려면 깨끗한 미디어에서 표준 재설치를 수행하십시오. 감염되지 않은 NoxPlayer 사용자의 경우 BigNox가 위협을 완화했다는 알림을 보낼 때까지 업데이트를 다운로드하지 마십시오. 또한 소프트웨어를 제거하는 것이 가장 좋습니다.”라고 Sanmillan은 조언합니다.

 

BigNox는 조사 결과 발표 후 ESET에 연락하여 침해에 대한 초기 거부가 오해였으며 이후 사용자의 보안을 개선하기 위해 다음과 같은 조치를 취했다고 밝혔습니다.

 

  • 도메인 하이재킹 및 MitM (Man-in-the-Middle) 공격의 위험을 최소화하기 위해 HTTPS 만 사용하여 소프트웨어 업데이트를 제공
  • MD5 해시 및 파일 서명 검사를 사용하여 파일 무결성 검증 구현
  • 사용자의 개인 정보 노출을 방지하기 위해 중요한 데이터의 암호화와 같은 추가 조치를 취함

BigNox는 또한 NoxPlayer의 업데이트 서버에 최신 파일을 푸시했으며 시작시 NoxPlayer가 사용자의 컴퓨터에 이전에 설치된 애플리케이션 파일 검사를 실행한다고 밝혔습니다.

 

* ESET BigNox에서 제공하는 정보의 정확성에 대해 책임을 지지 않습니다.

 

NightScout에 대한 자세한 기술 정보는 WeLiveSecurity의 블로그 게시물 "Operation NightScout: Supply-chain attack targets online gaming in Asia"을 참조하십시오. ESET Research의 최신 뉴스를 보려면 Twitter에서 ESET Research를 팔로우 하십시오.

 

   | 보안뉴스 PC용 앱 플레이어 악용한 공급망 공격 발견... 게임 업계 노린 표적 공격 추정

 

 

사업자 정보 표시
ESET KOREA operated by ESTC | 이창규 | 서울시 송파구 송파대로 167 테라타워1 A동 521호 | 사업자 등록번호 : 264-81-44862 | TEL : 02-567-0510 | Mail : sales@estc.co.kr | 통신판매신고번호 : 제2015-서울서초-0624호 | 사이버몰의 이용약관 바로가기
블로그 이미지

SEMTLE

Progress.Protected ESET KOREA operated by ESTC 공식 블로그입니다.

,