인도 보안업체 마이크로월드 테크놀로지스(MicroWorld Technologies)가 개발한 이스캔(eScan) 안티바이러스의 업데이트 인프라가 침해돼, 기업과 개인 사용자 시스템에 다단계 악성코드를 내려보내는 공격이 발생했다.
사이버 보안 매체 더 해커 뉴스(The Hacker News)에 따르면, 이스캔의 합법적 업데이트 인프라가 알 수 없는 공격자에 의해 악용돼 지속적인 다운로드 기능을 가진 악성코드가 전 세계 기업·소비자 단말기에 배포됐다.
모피섹(Morphisec) 연구원 마이클 고렐릭(Michael Gorelik)은 “악성 업데이트가 이스캔의 정상 업데이트 인프라를 통해 배포되면서, 기업과 소비자 단말기에 다단계 멀웨어가 설치됐다”고 밝혔다.
마이크로월드 테크놀로지스는 자사 인프라에서 비인가 접근을 탐지한 뒤, 영향을 받은 업데이트 서버를 즉시 격리했으며 해당 서버는 8시간 이상 오프라인 상태로 유지됐다고 설명했다. 회사는 악성 업데이트를 통해 도입된 변경 사항을 되돌리는 패치를 배포했으며, 영향을 받은 조직은 별도 연락을 통해 이 패치를 받아야 한다고 권고했다.
회사 측은 이번 공격이 지역별 업데이트 서버 설정 중 하나에 대한 비인가 접근에서 비롯됐다고 밝혔다. 이로 인해 공격자는 1월 20일(현지 시간) 약 2시간 동안 고객에게 ‘손상된(corrupt)’ 업데이트를 배포할 수 있었던 것으로 파악됐다.
마이크로월드 테크놀로지스는 1월 22일(현지 시간) 발행한 권고문에서 “이스캔은 1월 20일(현지 시간)부터 특정 업데이트 클러스터에서 특정 시간대에 자동 업데이트를 받는 일부 고객을 대상으로 일시적인 업데이트 서비스 중단을 겪었다”고 밝혔다. 이어 “문제는 지역 업데이트 서버 인프라에 대한 비인가 접근에서 발생했으며, 현재 식별·해결됐다”고 설명했다. 또 “발견된 모든 시나리오를 다루는 포괄적인 복구 절차가 마련돼 있다”고 덧붙였다.
모피섹은 이번 사건을 1월 20일(현지 시간) 처음 확인했으며, 악성 페이로드가 제품의 정상 기능을 방해해 자동 치료 기능을 사실상 무력화한다고 분석했다. 구체적으로는 악성 ‘Reload.exe’ 파일을 배포해, 지속성을 확보하고 원격 업데이트를 차단하며 외부 서버에 접속해 ‘CONSCTLX.exe’를 포함한 추가 페이로드를 내려받는 다운로더를 설치하도록 설계돼 있다고 설명했다.
카스퍼스키(Kaspersky)가 공개한 분석에 따르면, 원래 ‘C:Program Files (x86)escanreload.exe’ 경로에 위치한 정상 Reload.exe 파일은 악성 버전으로 교체된다. 이 악성 파일은 HOSTS 파일을 수정해 이후 안티바이러스 제품 업데이트를 막을 수 있으며, 유효하지 않은 위조 디지털 서명으로 서명돼 있다.
러시아 사이버 보안업체 카스퍼스키는 “해당 reload.exe 파일은 Program Files 폴더에서 실행됐는지 여부를 확인하고, 그렇지 않으면 종료한다”고 설명했다. 이어 “이 실행 파일은 어떤 프로세스에서든 파워셸(PowerShell) 코드를 실행할 수 있게 해주는 UnmanagedPowerShell 도구를 기반으로 하고 있으며, 공격자는 이 프로젝트 소스 코드에 AMSI(Windows Antimalware Scan Interface) 우회 기능을 추가하고, reload.exe 프로세스 내부에서 악성 파워셸 스크립트를 실행하는 데 사용했다”고 밝혔다.
이 바이너리의 주된 역할은 베이스64(Base64)로 인코딩된 파워셸 페이로드 3개를 실행하는 것이다. 이들 파워셸 페이로드는 설치된 이스캔 솔루션을 조작해 업데이트 수신과 악성 구성 요소 탐지를 방해하고, 윈도우 AMSI를 우회하며, 피해자 시스템을 추가 감염 대상으로 삼을지 여부를 확인한 뒤 조건에 맞는 경우 파워셸 기반 추가 페이로드를 전달하는 기능을 수행한다.
피해자 검증 단계에서는 설치된 소프트웨어, 실행 중인 프로세스, 서비스 목록을 하드코딩된 차단 목록과 대조해 분석 도구와 보안 솔루션 존재 여부를 확인한다. 이 차단 목록에는 카스퍼스키 등 여러 보안 제품이 포함돼 있으며, 해당 도구들이 탐지될 경우 추가 페이로드는 더 이상 전달되지 않는다.
파워셸 페이로드가 실행되면 외부 서버에 접속해 두 개의 페이로드를 내려받는다. 하나는 ‘CONSCTLX.exe’ 파일이고, 다른 하나는 예약 작업을 통해 실행되는 파워셸 기반 멀웨어다. 앞서 언급된 세 개의 파워셸 스크립트 중 첫 번째는 ‘C:Program Files (x86)eScanCONSCTLX.exe’ 구성 요소를 악성 파일로 교체하는 역할도 수행한다.
악성 CONSCTLX.exe는 파워셸 기반 멀웨어를 실행하는 동시에, ‘C:Program Files (x86)eScanEupdate.ini’ 파일에 현재 날짜를 기록해 이스캔 제품의 마지막 업데이트 시간이 최신인 것처럼 바꾼다. 이를 통해 사용자가 도구가 정상 작동하는 것으로 오인하도록 만든다.
파워셸 멀웨어는 앞선 단계와 동일한 검증 절차를 수행한 뒤, 공격자 인프라로 HTTP 요청을 보내 추가 파워셸 페이로드를 받아 순차적으로 실행한다.
이스캔 권고문에서는 어느 지역의 업데이트 서버가 영향을 받았는지 구체적으로 밝히지 않았다. 그러나 카스퍼스키가 텔레메트리 데이터를 분석한 결과, 이번 공급망 공격과 관련된 페이로드의 감염 시도를 겪은 개인 및 조직 소속 기기가 수백 대에 달하는 것으로 나타났다. 이들 기기는 주로 인도, 방글라데시, 스리랑카, 필리핀에 위치한 것으로 파악됐다.
카스퍼스키는 또 공격자들이 이스캔의 업데이트 메커니즘이 어떻게 작동하는지, 이를 어떻게 조작해 악성 업데이트를 배포할 수 있는지를 이해하기 위해 제품 내부 구조를 면밀히 연구했어야 했다고 분석했다. 다만 공격자가 업데이트 서버에 접근 권한을 어떻게 확보했는지는 아직 밝혀지지 않았다.
카스퍼스키는 “보안 솔루션 업데이트를 통해 멀웨어가 배포되는 사례는 매우 이례적”이라며, “공급망 공격 자체도 드문 편인데, 그중에서도 안티바이러스 제품을 통해 이뤄지는 공격은 특히 드물다”고 평가했다.
헬로티 |
