ESET(이셋)의 국내 법인 이셋코리아는 베트남 정부 인증기관(VGCA) 웹사이트에서 또 다른 아시아 공급망 공격을 발견했다고 밝혔다.

공격자는 이 웹사이트에서 다운로드할 수 있는 소프트웨어 설치 프로그램 중 두 가지를 수정하여 합법적인 애플리케이션 사용자를 감염시킨다. 공급망 공격은 사이버 스파이 그룹에게 매우 일반적인 절충 벡터인 것으로 보이며, 사이버 범죄 작전 SignSight는 PhantomNet 또는 Smanager로 알려진 맬웨어를 활용한다.

SignSight를 조사하는 ESET 연구원 Matthieu Faou는 “베트남에서는 디지털 서명 문서가 습식 서명과 동일한 수준의 시행성을 갖기 때문에 디지털 서명이 매우 일반적이다. VGCA는 인증서 발급 외에도 디지털 서명 툴킷을 개발하고 배포하는데 그것은 베트남 정부와 민간 기업에서 디지털 문서에 서명하는 데 사용된다. 인증 기관 웹사이트의 손상은 APT 그룹에게 좋은 기회가 된다. 방문자들은 디지털 서명을 담당하는 정부의 주조직에 대해 높은 수준의 신뢰를 가질 가능성이 높기 때문이다”라고 말했다.

PhantomNet 백도어는 매우 간단하며 공격 대상자 정보(컴퓨터 이름, 호스트 이름, 사용자 이름, OS 버전, 사용자 권한[관리자 여부] 및 공용 IP주소)를 수집하고 악성 플러그인을 설치, 제거 및 업데이트할 수 있다. 이러한 추가적이고 더 복잡한 플러그인은 아마도 선택한 몇 대의 컴퓨터에만 배포된다. 또한 합법적인 프로그램을 설치함으로써 공격자는 최종 사용자가 이러한 손상을 쉽게 알아차리지 못하도록 한다.

ESET 연구원들은 “2020년 12월 초에 이 새로운 공급망 공격을 발견하고 감염된 조직과 VNCERT에 통보했다. 우리는 웹 사이트가 2020년 8월 말에 손상된 소프트웨어 설치 프로그램의 제공을 중단했다고 생각한다”라며 “베트남 정부 인증 기관은 우리가 통보하기 전에 공격을 인지했으며 트로이 목마화된 소프트웨어를 다운로드 한 사용자에게 이를 알렸다는 것을 확인했다”라고 말했다.

한편 ESET은 베트남 외에도 필리핀에서 피해자들을 목격했다. SignSight에 대한 자세한 기술 정보는 WeLiveSecurity의 블로그 게시물 "Operation SignSight: Supply- chain attack against a certification authority in Southeast Asia"를 참고하면 된다.

★정보보안 대표 미디어 데일리시큐!★