이셋 “3CX와 동일 C&C 사용하는 ‘드림잡 작전’ 발견…광범위한 공격 이뤄져”
금전 목적 북한 공격그룹 UNC4736 소행으로 알려져
[데이터넷] 3CX 공급망 공격에 사용된 감염된 ‘엑스트레이더(X_Trader)’가 미국과 유럽의 주요 인프라에도 영향을 미친 것으로 드러났다. 더불어 3CX 침해와 관련된 동일한 명령어와 제어 서버에 연결된 해킹 캠페인 도구도 발견됐다.
보안 기업들은 3CX 및 엑스트레이더 공급망 공격은 매우 광범위하게 진행되고 있다고 경고하며, 3CX가 항공우주, 의료 등 다양한 분야 60만명 이상 고객, 1200만명 이상 조직에게 공급되고 있다는 점을 들어 심각한 피해가 일어나고 있을 가능성도 제기했다
금전 목적 공격으로 추측
22일 공개된 시만텍 엔터프라이즈의 위협 인텔리전스 보고서에서는 엑스트레이더의 영향을 받은 기업이 3CX 뿐만 아니라 미국과 유럽의 에너지 부문의 중요한 인프라 조직 두 곳과 금융거래 관련된 2개 기관이 포함됐다고 설명했다.
3CX 공급망 공격은 3월 말 주요 보안 기업들이 이 사실을 공개하고 4월 1일 3CX에서 보안 업데이트를 공개하면서 일반에 알려지기 시작했다. 감염된 소프트웨어는 윈도우, 맥OS용 음성·화상통화 데스크톱 클라이언트 ‘3CX 데스크톱 앱(3CX DesktoppApp)’이다.
공격자는 북한 연계 그룹 UNC4736으로 추정되며, 이들이 3CX 데스크톱앱을 감염시켜 유포되도록 했으며, 사용자 컴퓨터에서 추가 정보를 훔치는 멀웨어를 전달하기 위해 윈도우, 맥 버전 소프트웨어 설치 프로그램을 손상시키고 변경했다. UNC4736은 금전 목적의 공격 활동을 벌이 북한 해킹 조직으로, 암호화폐를 주로 노리는 ‘애플제우스’와 관련 있는 것으로 알려진다.
맨디언트는 20일 이 공격의 상세 분석 내용을 블로그를 통해 공개하고 2021년 공급망 공격으로 감염시킨 트레이딩 테크놀로지의 금융 소프트웨어 엑스트레이더가 3CX 공격에 사용됐으며, 엑스트레이더를 감염시킨 주체도 UNC4736이라고 밝혔다.
시만텍은 22일 이 내용에 덧붙여 엑스트레이더에 의해 침해된 기관 중 주요 인프라 조직과 금융조직이 있다는 사실을 발표했다. 트레이징 테크놀로지는 에너지 선물을 포함한 선물거래를 촉진하는 기업이라는 사실을 언급하며 공격자는 재정적인 동기가 있을 것으로 추측했다. 또 금융기관을 노린 공격 중 전략적으로 중요한 조직이 포함됐을 가능성이 있다고 설명하며, 이는 솔라윈즈 공급망 공격에 버금가는 피해를 입힐 수 있다고 경고했다.
시만텍은 “3CX가 이전에 또 다른 공급망 공격에 의해 침해됐다는 사실이 밝혀짐에 따라 추가 조직이 이 캠페인의 영향을 받았을 가능성이 있다. 이 캠페인은 예상했던 것 보다 훨씬 광범위하게 진행되고 있다”며 “공격자들은 소프트웨어 공급망 공격을 성공적으로 수행할 수 있는 템플릿을 분명히 보유하고 있으며, 더 나아가 유사한 공격도 배제할 수 없다”고 경고했다.
모든 OS 공격 가능한 북한 공격자
이셋은 20일 3CX 공격이 북한의 대표적인 공격그룹 라자루스와 연관됐을 것이라고 설명하며 그 증거로 3CX 공격에 사용된 리눅스 멀웨어가 라자루스가 사용하는 가짜 채용 제안인 ‘드림잡 작전(Operation DreamJob)’에 사용한 것과 동일하다는 점을 들었다.
이셋이 분석한 드림잡 작전은 리눅스 사용자를 대상으로 한 새로운 공격 캠페인으로, HSBC 채용 제안을 미끼로 사용자에게 접근한다. 여기에 사용된 공격도구는 ZIP 파일로 첨부되며, 오픈드라이브 클라우드 스토리지 계정을 통해 심플렉스티(SimplexTea) 리눅스 백도어가 유포된다.
3CX 공격은 지난해 12월 시작한 것으로 분석돼 공격자들이 이전에 이미 공격을 위한 발판을 마련한 것으로 보인다. 공격 개시 며칠 전 의문의 리눅스 다운로더가 바이러스토털에 제출됐으며, 이는 심플렉스티를 다운로드 한 후 3CX 관련 페이로드와 동일한 C&C 서버로 연결한다.
이셋은 “라자루스는 모든 중요 데스크톱 운영체제에 대해 기본 악성프로그램을 생성해 사용하고 있다”며 “다양한 IT 인프라에 구축된 손상된 소프트웨어는 파괴적인 영향을 미칠 수 있는 모든 종류의 페이로드를 다운로드하고 실행할 수 있다. 공급망은 공격자 관점에서 쉽게 악성 프로그램을 배포할 수 있게 하며, 라자루스는 이 기술을 사용해 성공적으로 공격을 수행한 경험이 있다”고 밝혔다.
