중국에 중심을 둔 APT(Advanced Persistent Threat, 고급 지속 협업) 그룹 'Bronze Starlight'이 Ivacy VPN 제공업체에서 사용한 유효한 인증서로 서명된 악성 소프트웨어를 통해 동남아 도박 산업을 공격했습니다. SentinelLabs에 따르면 유효한 인증서를 사용해서 보안 조치를 우회하고 시스템 경고를 피해, 합법적인 소프트웨어로 변질되어 보여집니다. 이 인증서는 싱가포르 VPN 제품 'Ivacy VPN'의 공급업체인 PMG PTE LTD에 속한 것으로 밝혀졌습니다.
이번 공격은 게임 애플리케이션을 통해 목표 시스템에 .NET 실행 파일(agentupdate_plugins.exe 및 AdventureQuest.exe)을 떨어뜨리는 것으로 시작되며, 이들 파일은 Alibaba 버킷에서 비밀번호로 보호된 ZIP 아카이브를 가져옵니다. 이 아카이브에는 Adobe Creative Cloud, Microsoft Edge, McAfee VirusScan과 같은 취약한 소프트웨어 버전이 포함되어 있으며, 이러한 취약한 애플리케이션들을 이용하여 'Bronze Starlight' 해커들은 대상 시스템에 Cobalt Strike 비콘을 배치합니다.
공격자들이 사용한 PMG PTE LTD의 코드 서명 인증서는 사실 Ivacy VPN 설치 프로그램에도 동일하게 사용되었습니다. SentinelLabs은 어느 시점에 PMG PTE LTD의 인증서 서명 키가 도난되었는지 알 수 없었습니다. 인증서가 도난당한 이후, 보안 연구원들은 VPN 제공 업체에서 위협 행위자들이 어떤 정보에 접근했는지에 대해 우려하고 있습니다. PMG PTE LTD는 아직 이 문제에 대해 공개적으로 답하지 않았으며, 해커들이 인증서에 어떻게 접근했는지 정확한 방법은 아직 불명확합니다.
요약
- 중국계 APT 그룹 'Bronze Starlight'이 유효한 인증서를 사용하여 동남아 도박 산업을 공격했다.
- 그룹은 .NET 실행 파일을 통해 ZIP 아카이브에 포함된 취약한 소프트웨어를 통해 대상 시스템에 악성 코드를 배치했다.
- 공격자들이 사용한 코드 서명 인증서는 Ivacy VPN 설치 프로그램에 동일하게 사용되었으며, 인증서가 도난당한 후의 VPN 제공 업체 내 정보 유출에 대한 가능성을 걱정하고 있다.
Reference
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.