[데이터넷] 북한 배후 공격자들이 소프트웨어 공급망 이용 공격에 집중하고 있다. 마이크로소프트는 2명의 북한 해커가 제트브레인의 CI/CD 애플리케이션 팀시티(TeamCity)에 영향을 미치는 원격코드 실행 취약점 CVE-2023-42793을 악용하고 있다고 공개하면서 지난달 제트브레인이 배포한 패치를 적용할 것을 권고했다. 마이크로소프트는 이 취약점은 높은 위협의 공격이 가능하다고 설명했다.

마이크로소프트가 지목한 해커는 소프트웨어 개발환경에 침투해 공급망 공격을 진행하는 다이아몬드 슬릿(Diamond Sleet), 피해조직 환경에서 지속적인 액세스를 설정하고 탐지를 우회하는 오닉스 슬릿(Onyx Sleet)의 공격도구를 사용하고 있었다.

다이아몬드 슬릿은 전 세계 미디어, IT 서비스, 국방 관련 기관을 표적으로 활동을 진행하고 있다. 이들은 오픈소스 소프트웨어를 무기화하고 있으며, 지난 8월에는 독일 소프트웨어 기업으 공급망을 공격했다. 오닉스 슬릿은 우리나라와 미국, 인도 국방·IT 서비스 조직을 타깃으로 공격하고 잇으며, N-데이 취약점을 악용해 표적 조직에 대한 초기접근 수단을 획득하고, 지속적으로 표적 네트워크에 액세스 할수 있는 공격 도구를 사용한다.

팀시티 취약점을 악용한 공격자는 파워셸을 활용해 공격자 인프라에서 합법적인 .exe 파일과 함께 악성 DLL을 다운로드 한다. 이들은 원격 액세스 트로이목마(RAT)를 로드하며, C2와 통신하면서 추가 멀웨어를 다운받는다. 그리고 LSASS 메모리를 통해 자격증명을 덤프한다. 손상된 시스템에 새로운 사용자 계정 krtbgt을 생성하는데, 케르베로스 티켓 생성을 가장하기 위한 것으로 보인다. net use를 통해 이 계정을 로컬 관리자 그룹에 추가한다.

그리고 파워셸을 이용해 공격자가 제어하는 인프라에서 페이로드를 다운로드, 메모리에서 실행하는데, 이 페이로드는 손상된 호스트와 공격자가 제어하는 인프라를 연력하는 프록시 도구로 사용된다. 그리고 공격자는 krtbgt 계정을 사용해 RDP를 통해 손상된 장치에 로그인하며, LSASS 메모리를 통해 자격증명을 덤프하고, 브라우저에 저장된 자격증명과 기타 데이터를 검색하는 도구를 배포하면서 공격을 이어간다.

마이크로소프트는 이 공격의 영향을 피하기 위해 제트브레인이 배포한 패치를 적용하고, 마이크로소프트 디펜더 등 보안 솔루션을 이용해 멀웨어를 차단할 것을 권고했다.

김선애 기자 다른기사 보기