소프트웨어 업데이트 공급망 공격 : 알아야 할 사항

소프트웨어 업데이트 공급망 공격은 2018 년 사이버 범죄의 큰 트렌드 중 하나였습니다.이 사이버 공격 기술에 대해 자세히 알아보십시오.

최근에 가장 유명한 사이버 공격 중 일부는 사이버 범죄자가 표적 회사의 제 3 자 공급 업체를 손상시키고 이들의 액세스를 사용하여 피해자의 네트워크에 접근 한 후 발생했습니다. 이러한 성격의 공격은 다음과 같이 알려져 있습니다. 소프트웨어 업데이트 공급망 공격

소프트웨어 업데이트 공급망 공격이란 무엇입니까?

우리는 소프트웨어 업데이트 공급망 공격을 다음과 같이 정의합니다.“멀웨어를 일반적인 배포 위치에서 합법적 인 소프트웨어 패키지에 이식합니다. 이는 소프트웨어 공급 업체, 타사 스토리지 위치 또는 리디렉션을 통해 생산 중에 발생할 수 있습니다.”

우리는 올해 초 ISTR 23에서 소프트웨어 업데이트 공급망 공격에 대해 썼습니다. 이러한 유형의 공격이 우리의 관심을 끌었던 이유는 2017 년에 공급망 공격이 급증했기 때문입니다. 전년도에. 2017 년에는 매월 평균 1 회의 공급망 공격이 있었지만 전년도에는 연간 4 건의 공격이있었습니다.

공격자가 소프트웨어 업데이트 공급망 공격을 수행하는 이유는 무엇입니까?

소프트웨어 업데이트 공급망 공격은 여러 가지 이유로 사이버 범죄자들에게 매력적입니다.

· 이미 신뢰할 수있는 채널을 이용하여 잘 보호 된 조직에 침투 할 수 있습니다.

· 자동 업데이트로 인해 감염 건수가 빠르게 증가 할 수 있습니다.

·이 방법을 사용하면 잘 알려진 Petya / NotPetya 공격의 경우처럼 공격자가 특정 지역 또는 섹터를 표적으로 삼을 수 있습니다. 주로 우크라이나에서 사용되는 회계 소프트웨어가 피해자의 컴퓨터에 액세스하기 위해 손상되었습니다.

· 산업 환경과 같은 격리 된 대상을 타겟팅 할 수 있습니다.

· 또한 신뢰할 수있는 프로세스가 악용 될 때 공격자가 시스템에 침입 한 방법을 피해자가 파악하기 어렵게 만들 수도 있습니다.

어떤 소프트웨어 업데이트 공급망 공격에 대해 들어봤을까요?

아마 꽤 많을 것입니다! 몇 달 전에 공개 된 많은보고 된 Ticketmaster 침해는 공격의 배후에 있었던 Magecart 그룹이 Ticketmaster의 타사 공급 업체 중 하나를 손상 시켰을 때 수행되었습니다.

Magecart 공격자들은 Ticketmaster 웹 사이트에서 고객 지원에 사용 된 기술 회사 Inbenta의 챗봇을 해킹 한 후 Ticketmaster 웹 사이트에 악성 자바 스크립트 코드를 삽입했습니다. Magecart는 Ticketmaster의 웹 사이트에서 JavaScript 코드를 변경하여 고객의 결제 카드 데이터를 캡처하여 서버로 전송할 수있었습니다. 코드는 거의 1 년 동안 Ticketmaster 웹 사이트에있을 수 있습니다. Inbenta는 Magecart가 취약점을 악용하여 프런트 엔드 서버를 표적으로하고 챗봇 코드를 변경했다고 말했습니다.

Magecart는 전자 상거래 웹 사이트에서 결제 양식을 타겟팅하고 정보를 훔치는 광범위한 캠페인을 수행하고 있습니다.이를 폼 재킹이라고합니다. Ticketmaster 위반 이후 Magecart는 분석, 웹 사이트 지원 및 기타 서비스를 관리하기 위해 전자 상거래 사이트에서 사용되는 타사 회사를 광범위하게 표적으로 삼고 있음이 밝혀졌습니다. Feedify는 웹 사이트 방문자에게 푸시 알림을 제공하기 위해 많은 웹 사이트에서 사용하는 타사 서비스 중 하나입니다. 9 월 11 일 위협 연구원이 자사의 JavaScript 코드 중 일부가 Magecart 스크립트로 수정되었음을 통보 받았으며 Feedify는 코드를 삭제하도록했습니다. 그러나 24 시간 이내에 코드가 다시 수정되었습니다. Feedify는 다시 삭제했지만 다시 나타 났으며 위협 연구원은 이후에 문제가 해결 될 때까지 Feedify 사용을 중지하라고 사용자에게 경고했습니다.

최근에 가장 유명한 소프트웨어 공급망 공격 중 두 가지는 CCleaner 공격과 앞서 언급 한 Petya / NotPetya 공격이었습니다. Petya / NotPetya는 다른 방법 중에서도 EternalBlue 익스플로잇을 사용하여 감염된 네트워크를 통해 확산되는자가 전파 웜입니다. 악명 높은 WannaCry 발발 직후에 공격이 발생했을 때 많은 헤드 라인을 장식했으며 EternalBlue를 사용하여 전파했습니다. 그러나 WannaCry와 달리 Petya / NotPetya는 처음에는 그랬던 것처럼 보였지만 랜섬웨어는 아니 었습니다. Petya가 수행 한 암호화는 되돌릴 수 없었기 때문에 피해자에게 몸값을 표시했지만 와이퍼라고 말하는 것이 더 정확합니다. Petya / NotPetya는 우크라이나에서 널리 사용되는 세무 및 회계 소프트웨어 패키지 인 MEDoc의 소프트웨어 업데이트 프로세스를 손상시켜 피해자 컴퓨터에 대한 발판을 마련했으며, 이는 해당 국가의 조직이 주요 대상임을 나타냅니다. 우크라이나는 Petya / NotPetya에 의해 가장 큰 타격을 입었지만 다른 여러 유럽 국가의 조직에도 타격을 입혔습니다.

2017 년 8 월 Petya / NotPetya 발병 직후 인 CCleaner라는 인기있는 시스템 정리 도구가 공급망 공격자들의 표적이되었습니다. 공격자는 회사의 개발 환경에 대한 액세스 권한을 얻고 업데이트 프로세스를 통해 악성 버전의 도구를 배포했습니다. 이 캠페인의 성공은 공격자가 제조업체의 공식 디지털 서명으로 트로이 목마 업데이트에 서명 할 수 있었기 때문에 도움이되었습니다. 시만텍의 원격 분석에 따르면 감염된 CCleaner 버전은 225 만 회 다운로드되었으며 미국에서 가장 많은 다운로드가 발생했으며 독일이 그 뒤를이었습니다. 흥미롭게도 이것은 2 단계 공격이었습니다. 초기 정찰 도구 (Trojan.Sibakdi)가 손상된 시스템에 떨어졌지만 소수의 시스템 만이 두 번째 페이로드 (Trojan.Famberp)를 받았습니다.

최근에는 피해자의 기기에 크립토 재킹 멀웨어를 전달하기 위해 활용되는 소프트웨어 공급망 공격도 확인했습니다. 소프트웨어 업데이트 공급망 공격은 곧 사라지지 않을 기술인 것으로 보입니다.

완화

소프트웨어 업데이트 공급망 공격은 방어하기 어려울 수 있지만 조직에서 취할 수있는 몇 가지 조치가 있습니다.

· 작은 테스트 환경이나 샌드 박스에서 먼저 합법적 인 것으로 보이는 새 업데이트를 테스트하여 의심스러운 동작을 감지합니다.

· 시스템의 모든 활동에 대한 동작 모니터링은 원치 않는 패턴을 식별하는 데 도움이 될 수 있으며 손상이 발생하기 전에 의심스러운 애플리케이션을 차단할 수 있습니다.

· 소프트웨어 패키지 제작자는 또한 소프트웨어 업데이트 프로세스와 웹 사이트에서 원치 않는 변경 사항을 감지 할 수 있는지 확인해야합니다.

보안 연구소 블로그 를 확인하고 Twitter 에서 Threat Intel을 팔로우하여 최신 정보를 확인하세요. 위협 인텔리전스 및 사이버 보안 세계의 최신 사건에 대한 최신 정보를 제공합니다.

이 이야기가 마음에 드십니까? Medium의 다른 사용자가 볼 수 있도록 하트 버튼을 눌러 추천하고 더 훌륭한 콘텐츠를 보려면 Threat Intel on Medium을 팔로우하세요.