3CX·엑스트레이더 공급망 공격도 벌인 것으로 알려져
[데이터넷] 미국 ID·액세스 솔루션 기업 점프클라우드가 공급망 공격에 이용당했는데, 공격자는 정교한 스피어 피싱 캠페인을 통해 네트워크에 접근한 것이라는 분석 결과가 나왔다.
맨디언트는 이 사고 조사 내용을 자세히 전하며 미국, 한국, 홍콩, 싱가포르의 여러 핀테크, 암호화폐 기업의 다양한 경영진을 표적으로 피싱 메일 캠페인을 벌이는 북한 배후 공격그룹 UNC4899의 소행이라고 확신했다. 트레이더 트레이터(TraderTraitor)라는 블록체인 관련 회사를 공격하는 금전 목적의 북한 공격그룹과 동일하게 유사한 활동을 하는 것으로 보인다.
이들은 연쇄적인 공급망 공격으로 공개된 3CX 공격 배후로도 알려진다. 3CX는 금융거래 소프트웨어 엑스트레이더의 감염된 소프트웨어를 내려받은 3CX 직원으로 인해 내부 네트워크가 감염된 유례없는 사고로, 감염된 엑스트레이더 소프트웨어가 미국, 유럽의 주요 기관에서도 발견돼 피해 규모가 매우 클 것으로 보인다.
북한 배후 공격자에 의해 침해당한 점프클라우드와 엑스트레이더, 3CX는 모두 대규모 고객에게 서비스를 제공하는 기업이라는 공통점이 있다. 광범위한 피해자를 감염시키기 위해 서비스 제공업체에 대한 액세스 권한을 탈취하려는 공격이라는 사실이다.
맨디언트는 북한 위협 운영자가 암호화폐와 핀테크 관련 자산을 표적으로 공급망 TTP를 구현하고 있다고 설명했다. 이들은 암호화폐 산업 내에서 가치가 높은 개인, 그들이 사용하는 소프트웨어 솔루션을 대상으로 하는 맥OS 멀웨어와 침해 기능을 계속 개발할 것으로 보인다.
맨디언트는 북한의 사이버 위협 운영자는 초점을 빠르게 변경하고 랜섬웨어, 무기, 표적, 암호화폐 활동 등의 관련없는 공격행위를 벌이고 있는데, 이는 보안탐지와 추적을 방해하기 위한 것이라고 설명했다. 그러면서 공격자는 더 은밀하고 빠른 속도로 움직이고 있다고 설명했다.
한편 점프클라우드는 이 사고로 인해 5명 미만의 고객과 10개 미만의 장치가 손상됐다고 밝혔다. 점프클라우드는 전 세계 18만개 이상 조직에서 사용되고 있으며, 5000명 이상 유료 고객을 보유하고 있다.
