보안 앱 Veraport 이용해 악성코드 설치
Veraport 사용 사이트에 대한 공급망 공격
Wizvera의 보안 소프트웨어인 Veraport를 이용해, 사이트 방문자의 PC에 악성코드를 설치하는 북한 해커단 Lazarus의 공격이 ESET에 의해 포착됐다.
베라포트는 금융이나 정부 사이트 등에서 많이 볼 수 있는데. 이들 사이트를 이용하려면 강제로 설치해야 하는 여러 보안 모듈을 한번에 설치하는 통합 설치 앱이다.
베라포트는 설치할 프로그램 목록과 다운로드 URL을 포함하는 구성 파일(configuration file)을 사용하는데, 해커는 그 다운로드 위치에 있는 정상 프로그램을 악성코드로 바꿔치기했다. 즉 베라포트를 해킹한 것이 아니라 이를 사용하는 사이트를 해킹한 것이다.
예를 들어, A 은행 사이트가 베라포트를 통해 B 키보드 보안 앱을 제공한다고 하자. 해커는 A 사이트를 해킹해 보안 자료실에 있는 B를 악성코드로 바꿔놓는 것이다. A에 방문한 이용객의 PC는 악성코드에 감염된다. 베라포트는 유명한 앱이므로 보안 경고에 의심없이 수락할 것이다.
베라포트는 구성 파일에 있는 각 프로그램을 설치할 때, 기본적으로 디지털 서명을 확인한다. 그러나 디지털 서명에 사용된 인증서가 유효한지만 확인할 뿐, 소유자는 확인하지 않는다. 라자루스는 다른 곳에서 훔친 인증서를 사용해, 베라포트의 검증을 통과했다. 탈취된 인증서 중에는 Dream Security라는, 한번쯤 들어본 듯한 보안 회사의 것도 있었다.
베라포트는 설치할 프로그램의 해시값을 검증하는 옵션도 제공한다. 이는 선택 사항인데, 활성화하면 이런 식의 해킹을 상당히 어렵게 하는 효과가 있다. 프로그램을 1 글자만 바꿔도 해시값이 달라지기 때문이다.
이 작전의 최종 페이로드는 원격제어 툴이다. 가짜 보안 모듈은 윈도우의 기본 프로세스인 svchost.exe를 감염시켜 RAT(Remote Access Tool)를 설치한다. PC의 제어권이 해커의 손에 완전히 넘어가는 것이다.
댓글
댓글 쓰기