Offcanvas

보안 / 분쟁|갈등 / 비즈니스|경제

3CX 침해 해커 집단, 미국 주요 인프라도 공격했다

2023.04.25 Apurva Venkat  |  CSO
시만텍의 보고서에 따르면, VoIP 업체 3CX를 노린 공급망 공격의 배후로 알려진 해커 집단이 에너지 분야 주요 인프라 조직 두 곳과 금융 거래 조직 두 곳도 감염된 엑스트레이더(X-TRADER) 앱을 사용해 공격했다. 공격을 받은 인프라 조직은 각각 미국과 유럽에 위치한다. 
 
Image Credit : Getty Images Bank

맨디언트가 3CX 침해의 원인이 감염된 엑스트레이더 앱이라고 밝힌 이후 하루 만에 여러 조직의 침해 보고가 이어졌다. 시만텍은 보고서를 통해 “이들 침해의 배후 공격자는 분명 소프트웨어 공급망 공격을 위한 성공적인 템플릿을 보유하고 있다. 향후 비슷한 공격이 이어질 가능성을 배제할 수 없다”라고 밝혔다.

지난달, 여러 보안연구소가 3CX 데스크톱 앱이 악성코드를 담고 있다고 보고했으며, 3CX는 이를 확인하고 자사 데스크톱 앱의 업데이트를 배포한 바 있다.
 
맨디언트는 공격에 사용된 방법론을 기반으로 이번 공격이 북한 해킹 단체 라자루스의 소행이라고 분석했다. 시만텍 역시 공격자가 북한과 연계된 것으로 보인다는 데 동의했다.

시만텍은 “엑스트레이더 공급망 공격은 금전적 동기에 의한 것으로 보이는데, 엑스트레이더 앱의 개발사인 트레이딩 테크놀로지스(Trading Technologies)는 에너지 선물을 포함한 선물 거래가 전문 분야다”라고 설명했다. 북한의 후원을 받는 이 해커 집단은 스파이 활동과 금전적 동기의 공격 모두에 개입하는 것으로 알려져 있다

또한 시만텍은 “금전적 동기의 공격을 진행한다는 점에서 향후에 악용하기 위해 전략적으로 중요한 조직을 공격할 가능성도 배제할 수 없다”라고 덧붙였다.

3CX 공급망 공격은 해커가 3CX의 네트워크와 시스템에 액세스하면서 진행됐는데, 해커는 선물 거래용 서드파티 앱과 관련된 다른 소프트웨어 공급망 공격을 통해 액세스 권한을 확보했다. 3CX의 한 직원이 트레이딩 테크놀로지스의 엑스트레이더란 선물 거래 플랫폼을 자신의 PC에 설치하면서 해커가 3CX의 네트워크에 액세스할 수 있게 된 것이다.

엑스트레이더는 다른 소프트웨어 공급망 공격으로 백도어가 설치되어 있었다. 2020년에 단종된 소프트웨어이지만, 2022년까지 트레이딩 테크놀로지스의 웹 사이트를 통해 다운로드해 사용할 수 있었다. 

맨디언트는 이번 공격이 연쇄적인 소프트웨어 공급망 감염으로 이어진 첫 번째 공급망 공격이라고 밝혔다. 공격자는 3CX 네트워크로 우회 진입할 수 있었으며, 3CX 데스크톱 앱의 윈도우 및 맥 버전에 악성 라이브러리를 심을 수 있었다.

3CX 데스크톱 앱의 감염된 버전은 먼저 중간 맬웨어 다운로더를 설치하는데, 이 기능은 깃허브 저장소까지 접근해 아이콘 파일에 숨겨진 C&C 주소를 획득한다. 이후 다운로드는 C&C 서버와 접속해 브라우저 이력은 물론 애플리케이션 구성 데이터까지 수집하는 정보 절취 프로그램을 설치한다. 참고로 맨디언트는 이 사건을 조사하기 위해 3CX와 계약을 체결했다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.