중국과 연관된 해커들이 공급망 공격을 통해 한국 VPN 제공업체 IPany를 침해하여 다수의 사용자에게 악성코드를 노출시켰습니다. 공격자들은 IPany의 소프트웨어 개발 파이프라인에 침투하여 Windows 기반 VPN 애플리케이션의 NSIS 설치 프로그램에 악성 코드를 주입했습니다. 이 작전은 'SlowStepper'라는 맞춤형 백도어를 무심코 다운로드한 사용자에게 배포할 수 있게 했습니다. 이 침해 사건은 2024년 5월 ESET의 연구자들에 의해 발견되었으며, 그들은 IPany의 공식 웹사이트에서 변경된 설치 프로그램을 발견했습니다.
'SlowStepper' 백도어는 공격자들이 민감한 데이터를 유출하고, 명령을 실행하며, 침해된 시스템에서 장기적인 지속성을 유지할 수 있게 합니다. 합법적인 소프트웨어 업데이트로 보이는 것을 다운로드한 사용자들은 이 백도어에 의해 시스템이 노출되어 공격자들에게 장치에 대한 상당한 제어 권한을 부여하게 되었습니다.
이 공격의 배후에 있는 그룹인 'PlushDaemon'은 최소 2019년부터 활동해온 중국의 고급 지속 위협(Advanced Persistent Threat, APT) 행위자로, 합법적인 소프트웨어 배포 채널을 탈취하는 것으로 알려져 있습니다. 그들은 IPany의 소프트웨어 저장소에 접근하여 설치 프로그램을 변경하고, 이를 공식 채널을 통해 배포하도록 했습니다. 그들의 전술에는 합법적인 트래픽을 공격자가 제어하는 서버로 리디렉션하여 악성 업데이트를 제공하는 것이 포함되어 있으며, 이는 공급망 침해의 전형적인 특징입니다.
'PlushDaemon'의 출현은 미국 및 그 동맹국에 대한 사이버 스파이 활동에 참여하는 여러 개의 활성 APT 그룹이 있는 중국의 사이버 위협이 증가하고 있음을 강조합니다. 전문가들은 조직들이 점점 더 고도화되는 악성 활동에 대해 경계를 유지할 것을 촉구하며, IPany의 침해 사건은 신뢰할 수 있는 제공업체조차 사이버 공격에 취약할 수 있음을 상기시켜 주며, 보안에 대한 선제적 접근이 필요하다는 점을 강조합니다.
* 이 글은
tomshardware.com의 기사를 요약한 것입니다. 전체 기사의 내용은
이곳에서 확인하실 수 있습니다.