ESET백신 이셋코리아

새소식

홈 > 새소식









 
작성일 : 21-02-10 16:29
ESET, 아시아 게이머들을 표적으로 하는 사이버 스파이 공급망 공격 NightScout 발견
 글쓴이 : ESTC
조회 : 230  




사이버 보안의 글로벌 리더인 ESET(이셋)의 국내 법인 이셋코리아(www.estc.co.kr)는 새로운 공급망 공격을 발견했다고 밝히며 주의를 당부했습니다.

며칠 전 ESET 연구원들은 PC 및 Mac용 Android 에뮬레이터인 NoxPlayer의 업데이트 메커니즘을 손상시키는 새로운 공급망 공격을 발견했습니다. 세 가지 맬웨어 군이 맞춤형 악성 업데이트에서 선별된 피해자들에게 배포되는 모습이 포착됐고, 금전적 이득을 챙길 기미는 보이지 않고 오히려 사이버 스파이 기능만 확인되었습니다. ESET은 이 악성 활동을 NightScout 라고 명명했습니다.
BigNox는 홍콩에 본사를 둔 회사로, 주로 NoxPlayer라고하는 PC 및 Mac 용 Android 에뮬레이터와 같은 다양한 제품을 제공하고 있습니다. 이 회사는 최소 20개의 다른 언어를 사용하는 150개 이상의 국가에서 1억 5천만명 이상의 사용자가 있다고 주장합니다. 그렇긴 하지만 BigNox의 팔로워 기반은 주로 아시아 국가에 있습니다. 

NightScout을 공개한 ESET 연구원 Ignacio Sanmillan은 "ESET 원격 분석을 기반으로 2020년 9월에 첫 번째 감염 지표를 확인했습니다. 이번 주에 명백하게 악성 활동을 발견하고 우리가 이를 BigNox에게 알려줄 때까지 활동이 지속되었습니다”라고 말했습니다.

NightScout은 ESET 연구원들이 불과 몇명의 피해자만 식별할 수 있는 고도로 표적화 된 작업입니다. 확인 된 피해자는 대만, 홍콩, 스리랑카에 소재하고 있습니다. Sanmillan은, "문제의 감염된 소프트웨어와 감시 기능을 보여주는 악성 코드를 바탕으로 이것이 게임 커뮤니티에 관련된 대상에 대한 인텔리전스 수집의 의도를 나타낼 수 있다고 생각합니다."라고 설명합니다.


지도 - NightScout의 피해자 분포


이 특정 공급망 공격에서 NoxPlayer 업데이트 메커니즘은 위협의 벡터 역할을 했습니다. 실행시 NoxPlayer가 최신 버전의 소프트웨어를 감지하면 사용자에게 설치 옵션을 제공하는 메시지 상자를 표시하여 맬웨어를 전달합니다.

“우리는 BigNox의 인프라가 맬웨어를 호스팅하기 위해 손상되었다는 것과 API 인프라가 손상되었을 수 있음을 시사하는 충분한 증거를 가지고 있습니다. BigNox 업데이터가 공격자가 제어하는 서버에서 추가 페이로드를 다운로드한 경우도 있습니다.”라고 Sanmillan은 덧붙였습니다.

ESET 연구원은 총 3개의 서로 다른 악성 업데이트 변종을 관찰했습니다. 첫 번째 악성 업데이트 변종은 이전에 문서화되지 않은 것으로 보이며 피해자를 모니터링할 수 있는 충분한 기능을 갖추고 있습니다. 두 번째 업데이트 변형은 첫 번째와 일치하여 합법적인 BigNox 인프라에서 다운로드되는 것으로 확인되었습니다. 배포된 최종 페이로드는 위협 행위자 사이에서도 널리 사용되는 Gh0st RAT (키로거 기능 포함)의 인스턴스였습니다.

세 번째 변종인 PoisonIvy RAT은 사이버 범죄자들에게 인기있는 원격 액세스 도구로, 초기 악성 업데이트 이후 활동에서만 발견되었으며 공격자가 제어하는 인프라에서 다운로드되었습니다.

ESET은 연구원들이 과거에 모니터링한 로더와 NightScout에서 사용된 로더 간의 유사성을 발견했습니다. 우리가 볼 수 있는 유사점은 2018 미얀마 대통령 사무실 웹 사이트 공급망 손상에서 발견된 사례와 2020년 초 홍콩 대학에 침입한 사례와 관련이 있습니다. 

“침입의 경우 안전하게 보호하려면 깨끗한 미디어에서 표준 재설치를 수행하십시오. 감염되지 않은 NoxPlayer 사용자의 경우 BigNox가 위협을 완화했다는 알림을 보낼 때까지 업데이트를 다운로드하지 마십시오. 또한 소프트웨어를 제거하는 것이 가장 좋습니다.”라고 Sanmillan은 조언합니다.

BigNox는 조사 결과 발표 후 ESET에 연락하여 침해에 대한 초기 거부가 오해였으며 이후 사용자의 보안을 개선하기 위해 다음과 같은 조치를 취했다고 밝혔습니다.

도메인 하이재킹 및 MitM (Man-in-the-Middle) 공격의 위험을 최소화하기 위해 HTTPS 만 사용하여 소프트웨어 업데이트를 제공

MD5 해시 및 파일 서명 검사를 사용하여 파일 무결성 검증 구현

사용자의 개인 정보 노출을 방지하기 위해 중요한 데이터의 암호화와 같은 추가 조치를 취함


BigNox는 또한 NoxPlayer의 업데이트 서버에 최신 파일을 푸시했으며 시작시 NoxPlayer가 사용자의 컴퓨터에 이전에 설치된 애플리케이션 파일 검사를 실행한다고 밝혔습니다.

* ESET은 BigNox에서 제공하는 정보의 정확성에 대해 책임을 지지 않습니다.
NightScout에 대한 자세한 기술 정보는 WeLiveSecurity의 블로그 게시물 "Operation NightScout: Supply-chain attack targets online gaming in Asia"을 참조하십시오. ESET Research의 최신 뉴스를 보려면 Twitter에서 ESET Research를 팔로우 하십시오.




ESET 소개
ESET®은 30여년 간 전세계 기업 및 개인 고객을 위한 업계 최고의 IT 보안 소프트웨어 및 서비스를 개발해 왔습니다. 엔드포인트 및 모바일 보안부터 암호화 및 2단계 인증에 이르는 솔루션을 통해, ESET의 고성능이면서도 사용이 간편한 제품은 개인 및 기업 고객에게 기술의 잠재력을 최대한 누릴 수 있는 심리적 여유를 제공합니다. ESET은 연중무휴 24/7 보호 및 모니터링하며 실시간으로 방어 기능을 업데이트하여 사용자의 안전을 유지하고 중단 없이 비즈니스를 운영되도록 합니다. 진화하는 위협에는 진화하는 IT 보안 회사가 필요합니다. 전 세계 13개 R&D 센터가 지원하는 ESET는 2003년 이후 100개의 Virus Bulletin VB100 상을 수상하는 최초의 IT 보안 회사입니다.

자세한 내용은 https://www.eset.com/ 을 방문하거나, Linkedin, FacebookTwitter 에서 ESET을 팔로우 하십시오.