CWN(CHANGE WITH NEWS) - VPN 인증서를 이용한 악성 소프트웨어 은닉화에 대한 해킹 캠페인

사이버 보안 연구자들은 VPN 서비스의 정품 인증서를 이용하여 악성 소프트웨어를 은닉화하는 고도로 정교한 해킹 캠페인을 발견했다. 이 캠페인은 동남아시아의 도박 업계를 표적으로 한 중국 국가 후원 APT 그룹인 Bronze Starlight에 속한다고 밝혀졌다.

연구자들의 보고서에 따르면, 해커들은 약간 변형된 채팅 앱을 통해 주로 trojanized chat 앱을 통해 agentupdate_plugins.exe와 AdventureQuest.exe라는 두 개의 .NET 실행 파일을 배포했다. 이 캠페인의 주된 목표는 Cobalt Strike 비콘을 전달하는 것이었다. Cobalt Strike는 보안 전문가들과 사이버 범죄자들 모두가 사용하는 상용 침투 테스트 도구다.

이 공격을 특히 우려스럽게 만드는 점은 이 .NET 실행 파일에 사용된 코드 서명 인증서가 인기 있는 가상 사설망(VPN) 서비스인 Ivacy VPN의 것이라는 점이다. 합법적인 인증서를 활용함으로써 공격자들은 대상 시스템에 설치된 사이버 보안 솔루션을 우회하여 악성 소프트웨어로 생성되는 모든 들어오고 나가는 트래픽을 은닉화할 수 있었다.

또한, 연구자들은 이 악성 실행 파일들이 미국, 독일, 프랑스, 러시아, 인도, 캐나다 및 영국과 같은 특정 국가에서 작동하지 않도록 설계되어 있다는 것을 발견했다. 아마도 탐지를 회피하기 위한 목적으로 이 지오펜싱 기능이 제대로 구현되지 않았던 것으로 추정된다.

SentinelLabs는 Ivacy VPN의 부모 회사인 PMG PTE LTD가 사용한 서명 키가 도난당한 것으로 의심한다. 악성 소프트웨어 서명을 위해 알려진 중국의 위협 행위자들 사이에서 이 기술이 관찰되었다. VPN 제공업체는 해커들에게 민감한 사용자 데이터와 통신에 대한 액세스를 제공할 수 있는 매력적인 대상이다.

Ivacy VPN은 이 사건에 대해 아직 어떠한 설명도 하지 않았으며, 해커들이 인증서를 어떻게 획득했는지 확인하기 어려운 상황이다. 그러나 위반한 인증서는 DigiCert에서 설정한 기준 요건을 위반하여 무효화되었다.

[ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]