유효한 인증서를 악용한 국내 게임사 대상 공급망 공격
AhnLab SEcurity intelligence Center(ASEC)은 최근 국내 기업 및 사용자들을 대상으로 한 위협을 모니터링하던 중 국내 게임사들을 대상으로 공급망 공격을 수행한 정황을 확인하였다. 자사에서 Larva-24008로 구분하는 해당 공격 그룹은 국내 게임 보안 업체를 공격하여 게임 보안 모듈에 악성 루틴을 삽입하였다. 이에 따라 해당 업체의 보안 모듈을 사용하는 게임들은 악성코드가 포함된 채로 배포되었으며 이를 설치한 시스템에는 최종적으로 원격 제어 악성코드가 설치되어 공격자에게 제어가 탈취되었다. 공격자는 변조된 보안 모듈을 사용하는 게임의 사용자들 모두를 공격 대상으로 하지는 않았으며 주로 게임사로 확인된 업체들을 대상으로 원격 제어 악성코드를 설치하였다. 즉 이는 국내 게임사들을 대상으로 한 APT 공격으로 추정된다.
해당 공격은 2024년 4월, 5월에 일어났으며 공격자는 게임 보안 관련 프로그램 모듈에 악성코드를 삽입하고 해당 프로그램 제작사의 유효한 인증서로 서명 및 유포하였다. 유포는 공급망 공격 형태로 이루어졌으며 국내 게임사의 공식 사이트를 통해 게임을 설치하는 과정에서 악성코드가 함께 설치되었다. 공격자가 삽입한 코드는 파워쉘 명령을 실행해 특정 주소로부터 난독화된 스크립트를 다운로드 받아 실행하는데 결과적으로 피해 시스템이 공격자가 지정한 특정 IP일 경우 Remcos RAT을 다운로드하는 기능을 수행한다.
[그림 1] 게임 보안 프로그램을 이용한 공급망 공격 흐름도
[그림 2] 정상 모듈과 변조 모듈 비교
공격 사례에서 확인된 악성코드들은 국내 게임 보안 업체의 유효한 인증서로 서명된 것이 특징이다. 공격자가 악용한 게임 보안 업체의 인증서는 적어도 2017년부터 지속적으로 탈취되어 공격에 사용되고 있는데 ZxShell이나 Mimikatz, PrintSpoofer 악성코드 서명에 사용되어 왔다. ZxShell은 과거부터 주로 중국 기반의 공격자들이 자주 사용하는 것으로 알려진 오픈 소스 백도어 악성코드이다. 일부 보고서에 따르면 중국을 기반으로 하는 것으로 알려진 APT 27 (BRONZE UNION, EMISSARY PANDA, Iron Tiger, Lucky Mouse 등) 공격 그룹이 ZxShell 악성코드를 중국 소프트웨어 개발 업체인 Hangzhou Bianfeng Networking Technology 사의 유효한 인증서로 서명하여 공격에 활용했는데[1] [2], ASEC확인 결과 이는 국내 게임 업체의 인증서로 서명된 ZxShell과 실질적으로 동일한 형태였다.
하지만 이러한 공격들은 오랜 기간 동안 진행되어 왔으며 국내외 수많은 업체들의 유효한 인증서가 공격에 사용되었다. 국내 기준으로는 게임 개발 업체와 게임 보안 업체가 확인되었으며 이외에도 중국의 SW 개발 업체 인증서가 악용되었다. 사용하는 악성코드들과 C&C 주소를 보면 공격은 주로 중국을 기반으로 한 공격자들에 의해 이루어진 것으로 보이지만 여기에서 다루는 모든 공격 및 악성코드가 동일한 공격자의 소행인지 여부나 구체적인 APT 그룹과의 연관성은 확인되지 않는다.
[1] Emissary Panda APT: Recent infrastructure and RAT analysis
[2] BRONZE PRESIDENT Targets Government Officials
최근 발생한 악용 사례들 중에는 2024년 8월 국내 게임 개발 업체의 인증서가 ‘OOO Arena’라는 게임의 런처 프로그램을 서명하는데 사용되었던 사례도 존재한다. 해당 런처는 일반적인 악성코드는 아니지만 다양한 사용자 정보들을 탈취한다는 점이나 업데이트 과정에서 변조 모듈의 C&C 주소와 동일한 주소를 사용한다는 점에서 단순한 게임 클라이언트라고 하기에는 의심의 여지가 있다. 즉 탈취된 인증서들이 ZxShell을 포함한 다양한 악성코드를 서명하는데 사용되어 왔으며 이외에도 외국 게임 클라이언트를 서명하기 위한 목적으로도 사용되고 있다는 점을 통해 탈취된 인증서가 다양한 공격자들에 의해 사용되고 있을 가능성도 무시할 수 없다.
|
국가 |
서명 회사 |
유효 (2024.09.27 기준) |
설명 |
|
대한민국 |
A사 |
X |
게임 개발 업체 |
|
대한민국 |
B사 |
X |
게임 개발 업체 |
|
대한민국 |
C사 |
X |
게임 보안 프로그램 개발 업체 |
|
대한민국 |
D사 |
X |
게임 개발 업체 |
|
대한민국 |
E사 |
O |
게임 개발 업체 |
|
중국 |
F사 |
O |
앱 개발 업체 |
|
중국 |
G사 |
O |
게임 개발 업체 |
|
중국 |
H사 |
X |
소프트웨어 개발 업체 |
|
중국 |
I사 |
X |
소프트웨어 개발 업체 |
|
중국 |
J사 |
O |
IT 업체 |
[표 1] 공격자 악용 인증서 정보
공격에 사용된 ZxShell은 드로퍼에 의해 서비스 형태로 설치된다. 최종적으로 설치된 ZxShell들은 모두 동일한 것은 아니지만 원본 ZxShell과 비교하여 많은 기능들이 제거된 형태이며 원격 쉘 및 파일 관리와 같은 기본적인 기능들만을 제공하는 것이 특징이다. 비록 공격자는 키로깅이나 정보 수집, 원격 데스크톱과 같은 기능은 사용할 수 없지만 아래와 같이 지원하는 기능들만으로도 감염 시스템을 제어하는데에는 충분하다. 그리고 공격자는 국내 게임사의 유효한 인증서로 ZxShell 백도어뿐만 아니라 Mimikatz, PrintSpoofer, Nirsoft의 Dialupass와 같은 권한 상승 및 자격 증명 탈취에 사용되는 도구에도 서명하여 공격에 악용하였다.
|
명령 |
기능 |
|
GetCMD |
원격 쉘 |
|
FileMG |
파일 관리 |
|
rPortMap |
포트 포워딩 |
|
End |
중지 |
|
Exit / Quit |
종료 |
[표 2] 공격에 사용된 ZxShell이 지원하는 명령
지난 24년 8월 확인된 최근 공격 사례에서는 위에서 다룬 게임사들의 유효한 인증서가 악성코드를 서명하는 목적으로만 사용된 것이 아니라 게임 런처를 서명하는데에도 사용되었다. 다음은 ‘OOO Arena’라는 게임의 홈페이지로서 회원가입뿐만 아니라 게임 클라이언트에 대한 다운로드가 가능하다. ‘OOO Arena’ 게임 런처들을 조사한 결과 국내 게임사들의 유효한 인증서를 이용해 서명되어 유포되었던 것을 확인하였다.
[그림 3] ‘OOO Arena’ 게임 홈페이지
‘OOO Arena’ 게임 런처는 사용자 이름, 컴퓨터 이름, MAC 주소, IP 주소, CPU, GPU, RAM, 메인보드 등의 하드웨어 및 윈도우 버전 정보를 공격자 서버에 전송한다.
[그림 4] 시스템에서 수집한 정보들
참고로 바이너리에는 다운로드 주소나 위의 명령들을 포함한 다양한 문자열들이 암호화되어 존재한다. 이러한 문자열들은 실행 중 복호화되는데 그중에는 다음과 같이 욕설이 포함된 문자열들이 확인되는 것이 특징이다.
[그림 5] 게임 런처에서 확인되는 문자열들
최근들어 SW 공급망 공격 사례가 눈에 띄게 증가하고 있다. SW 공급망 공격은 국가의 지원을 받는 APT 공격자들뿐만 아니라 금전적 수익을 목표로 하는 공격자들의 공격 사례에서도 확인되고 있다. 공급망 공격은 성공하게 되면 프로그램을 사용하는 모든 조직과 개인에 영향을 미칠 수 있을 정도로 파급력이 크다. 실제 AhnLab에서도 다양한 SW 공급망 공격을 확인하고 대응하고 있으며 그 빈도가 갈수록 늘어나고 있다.
공급망 공격은 모든 SW 인프라가 그 대상이 되기 때문에 모든 단계의 보호가 되지 않으면 공격이 가능해지기 때문에 이를 인지하고 방어하는데 어려움이 존재한다. 실제 취약점이 공개된 이후에도 그리고 관리자나 개발 업체가 공급망 공격을 인지한 이후에도 오랜 기간 동안 적절한 조치가 진행되지 못한 사례들이 적지 않다. 추후 SBOM이 도입되고 정부와 기업들이 협력하여 함께 실천한다면 공급망 보안을 강화하고 안전한 디지털 환경을 구축할 첫 걸음이 될 것으로 보인다.
AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.
