Ars Technica • 25일 전

인기 가상 디스크 프로그램 'Daemon Tools' 한 달간 공급망 해킹 당해

IMP

8/10

핵심 요약

전 세계적으로 널리 사용되는 디스크 이미지 마운트 프로그램인 Daemon Tools가 한 달간 공급망 공급망 공격을 받아 악성 업데이트가 배포되었습니다. 공격자는 개발사의 공식 서명이 적용된 설치 파일을 통해 시스템 정보를 수집하고, 특정 기관을 선별해 추가 백도어를 심었습니다. 사용자는 공식 채널에서 업데이트만 진행했을 뿐인데도 감염될 수 있으므로, 해당 기간 Daemon Tools를 설치한 적이 있는 조직은 시스템 감염 여부를 즉시 확인해야 합니다.

번역된 본문

디스크 이미지 마운트에 널리 사용되는 앱인 Daemon Tools가 한 달간 이어진 해킹으로 인해 개발사 서버에서 악성 업데이트가 배포되는 공급망 공격(Supply-chain attack)을 당했다고 보안 연구원들이 화요일에 밝혔다.

이 공급망 공격을 보고한 보안 기업 카스퍼스키(Kaspersky)는 이 공격이 4월 8일에 시작되어 게시글이 공개된 시점까지도 활성화 상태였다고 전했다. 개발사의 공식 디지털 인증서로 서명되어 웹사이트에서 다운로드된 설치 프로그램은 Daemon Tools 실행 파일을 감염시키며, 이로 인해 악성코드가 부팅 시간에 실행된다. 카스퍼스키는 명시적으로 언급하지 않았지만, 기술적 세부 사항을 바탕으로 볼 때 감염된 버전은 Windows에서 실행되는 버전에만 해당하는 것으로 보인다. 버전 12.5.0.2421부터 12.5.0.2434까지가 영향을 받는다. 추가적인 세부 사항을 확인하기 위해 카스퍼스키나 개발사인 AVB에 즉시 연락을 취할 수는 없었다.

방어하기 어려운 공격 감염된 버전에는 MAC 주소, 호스트 이름, DNS 도메인 이름, 실행 중인 프로세스, 설치된 소프트웨어 및 시스템 로케일을 수집하는 초기 페이로드(Payload)가 포함되어 있다. 이 악성코드는 수집된 정보를 공격자가 통제하는 서버로 전송한다. 100개 이상의 국가에 있는 수천 대의 컴퓨터가 표적이 되었다. 감염된 수많은 컴퓨터 중 소매, 과학, 정부 및 제조 조직에 속한 약 12대의 컴퓨터만이 후속 페이로드를 받았는데, 이는 이 공급망 공격이 특정 그룹을 표적으로 삼았음을 나타낸다.

이 사건은 최근 발생한 공급망 공격 중 하나일 뿐이다. 이러한 종류의 다른 공격으로는 2017년 Windows 유틸리티인 CCleaner 오염, 2020년 기업용 SolarWinds 앱 관리 소프트웨어 해킹, 2023년 3CX VoIP 클라이언트 공격 등이 있다. 사용자는 공식 채널을 통해 디지털 서명된 업데이트를 설치하는 것만으로도 감염되기 때문에 이러한 공격은 방어하기가 매우 어렵다. 이 세 가지 사례 모두 침해된 업데이트 배포 채널이 발견되기까지 몇 주 또는 몇 달이 걸렸다.

카스퍼스키 연구원들은 "공급망 공격을 분석한 장기적인 경험을 바탕으로 볼 때, 공격자들이 Daemon Tools 침해를 매우 정교하게 조직했음을 결론지을 수 있다"고 작성했다. "예를 들어, 이 공격이 탐지되기까지 걸린 시간은 약 1개월이었는데, 이는 우리가 2023년에 사이버 보안 커뮤니티와 함께 조사한 3CX 공급망 공격과 맞먹는 수치다. 공격의 복잡성이 높다는 점을 고려할 때, 조직은 4월 8일 이후에 Daemon Tools가 설치된 컴퓨터를 비정상적인 사이버 보안 관련 활동이 있는지 면밀히 검사하는 것이 필수적이다."

약 12개 조직에 푸시된 후속 페이로드 중 하나는 카스퍼스키가 '미니멀리스틱 백도어(minimalistic backdoor)'라고 설명한 것이다. 이 백도어는 명령을 실행하고, 파일을 다운로드하며, 메모리에서 셸코드 페이로드를 실행할 수 있는 능력을 갖추고 있어 감염을 탐지하기 더욱 어렵게 만든다.

카스퍼스키는 러시아에 위치한 교육 기관에 속한 단일 컴퓨터에 설치된 QUIC RAT이라는 더 복잡한 백도어를 관찰했다고 밝혔다. 초기 분석 결과, 이 백도어는 notepad.exe 및 conhost.exe 프로세스에 페이로드를 주입할 수 있으며 HTTP, UDP, TCP, WSS, QUIC, DNS 및 HTTP/3를 포함한 다양한 C2(Command and Control) 통신 프로토콜을 지원한다.

감염된 100개 조직은 주로 러시아, 브라질, 터키, 스페인, 독일, 프랑스, 이탈리아 및 중국에 위치해 있었다. 자사 제품이 제공하는 원격 측정 데이터에만 기반을 두고 있기 때문에 카스퍼스키가 이 공격에 대해 파악할 수 있는 가시성은 제한적이다.

카스퍼스키 연구원들은 다음과 같이 작성했다: 분석에 따르면 영향을 받은 시스템의 10%가 기업 및 조직에 속해 있다. 공격자는 영향을 받은 대부분의 컴퓨터를 정보 수집 페이로드로만 감염시키려고 시도했다. 그러나 더 복잡한 다른 백도어 페이로드는 러시아, 벨라루스, 태국에 위치한 정부, 과학, 제조 및 소매 조직의 12대의 컴퓨터에서만 관찰되었다. 이러한 방식으로 소규모 감염 그룹에만 백도어를 배포하는 것은...

원문 보기

원문 보기 (영어)

Text settings Story text Size Small Standard Large Width * Standard Wide Links Standard Orange * Subscribers only Learn more Minimize to nav Daemon Tools, a widely used app for mounting disk images, has been backdoored in a monthlong compromise that has pushed malicious updates from the servers of its developer, researchers said Tuesday. Kaspersky, the security firm reporting the supply-chain attack, said it began on April 8 and remained active as of the time its post went live. Installers that are signed by the developer’s official digital certificate and downloaded from its website infect Daemon Tools executables, causing the malware to run at boot time. Kaspersky didn’t explicitly say so, but based on technical details, the infected versions appear to be only those that run on Windows. Versions 12.5.0.2421 through 12.5.0.2434 are affected. Neither Kaspersky nor developer AVB could be contacted immediately for additional details. Hard to defend against Infected versions contain an initial payload that collects MAC addresses, hostnames, DNS domain names, running processes, installed software, and system locales. The malware sends them to an attacker-controlled server. Thousands of machines in more than 100 countries were targeted. Out of the many machines infected, about 12 of them, belonging to retail, scientific, government, and manufacturing organizations, have received a follow-on payload—an indication that the supply-chain attack targets select groups. The incident is only the latest supply-chain attack. Other such attacks include the poisoning of the CCleaner Windows utility in 2017, the Solar Winds app management software for enterprises in 2020, and 3CX VoIP client in 2023. Such attacks are hard to defend against because users are infected when they do nothing more than install digitally signed updates available through official channels. In all three cases it took weeks or months before the compromised update distribution channels were discovered. “Based on our long-term experience of analyzing supply chain attacks, we can conclude that attackers orchestrated the DAEMON Tools compromise in a highly sophisticated manner,” Kaspersky researchers wrote. “For example, the time it took to detect this attack, which turned out to be about one month, is comparable to the 3CX supply chain attack which we researched together with the cybersecurity community in 2023. Given the high complexity of the attack, it is paramount for organizations to carefully examine machines that had DAEMON Tools installed, for abnormal cybersecurity-related activities that occurred on or after April 8.” One of the follow-on payloads pushed to about a dozen organizations was what Kaspersky described as a “minimalistic backdoor.” It has the ability to execute commands, download files, and run shellcode payloads in memory—making the infection harder to detect. Kaspersky said that it observed a more complex backdoor dubbed QUIC RAT, installed on a single machine belonging to an educational institution located in Russia. Initial analysis found that it can inject payloads into the notepad.exe and conhost.exe processes and supports a variety of C2 communication protocols, including HTTP, UDP, TCP, WSS, QUIC, DNS, and HTTP/3. The 100 infected organizations were primarily located in Russia, Brazil, Turkey, Spain, Germany, France, Italy, and China. Kaspersky’s visibility into the attack is limited because it’s based solely on telemetry provided by its own products. Kaspersky researchers wrote: The analysis shows that 10% of the affected systems belong to businesses and organizations. Attackers attempted to infect most of the affected machines only with the information collector payload. However, the other backdoor payload, which is more complex, has been observed only on a dozen machines of government, scientific, manufacturing and retail organizations located in Russia, Belarus and Thailand. This manner of deploying the backdoor to a small subset of infected machines clearly indicates that the attacker had intentions to conduct the infection in a targeted manner. However, their intent – whether it is cyberespionage or ‘big game hunting’ – is currently unclear. More recent supply-chain attacks have hit Trivy, Checkmarx, and Bitwarden and more than 150 packages available through open source repositories. Last year, there were at least six notable such attacks. Anyone who uses Daemon Tools should take time to scan the entirety of their machines using reputable antivirus software. Windows users should additionally check for indicators of compromise listed in the Kaspersky post. For more technically advanced users, Kaspersky recommends monitoring “suspicious code injections into legitimate system processes, especially when the source is executables launched from publicly accessible directories such as Temp, AppData, or Public.” Dan Goodin Senior Security Editor Dan Goodin Senior Security Editor Dan Goodin is Senior Security Editor at Ars Technica, where he oversees coverage of malware, computer espionage, botnets, hardware hacking, encryption, and passwords. In his spare time, he enjoys gardening, cooking, and following the independent music scene. Dan is based in San Francisco. Follow him at here on Mastodon and here on Bluesky. Contact him on Signal at DanArs.82. 26 Comments

보안 공급망 공격 악성코드 카스퍼스키 Daemon Tools