맨디언트가 최근 북한 추정의 공격자의 3CX 공급망 공격 정황을 조사하고 관련 내용을 발표했다.

UNC4736으로 추적되는 공격자는 3CX의 "3CXDesktopApp" 클라이언트 트로이 목마를 통해 멀웨어를 배포했다. 3CXDesktoppApp은 채팅, 화상 통화, 음성 통화 등 사용자에게 커뮤니케이션을 제공하는 엔터프라이즈용 소프트웨어다.

맨디언트 컨설팅은 3CX 공급망 침해의 초기 침입 벡터가 이전 소프트웨어 공급망 침해를 통해 배포된 멀웨어에서 시작된 것을 밝혀냈다. 맨디언트가 소프트웨어 공급망 공격이 또 다른 소프트웨어 공급망 공격으로 이어지는 것을 확인한 바는 이번이 처음이다.

맨디언트가 발표한 3CX 공급망 공격 조사 주요 내용은 다음과 같다.

2022년, 3CX 직원이 소프트웨어 제공업체 ‘트레이딩 테크놀로지스(Trading Technologies)’에서 소프트웨어를 다운로드했고, 이 과정에서 3CX 직원이 알아채지 못한 채 멀웨어가 심어진 버전이 설치됐다.

3CX 직원이 다운로드한 소프트웨어는 ‘엑스트레이더(X_TRADER)’로, 트레이딩 테크놀로지스에서 금융 거래 목적으로 사용하는 소프트웨어로 밝혀졌다. 트레이딩 테크놀로지스는 2020년 엑스트레이더를 종료시켰지만 2022년에도 다운로드는 가능했다.

엑스트레이더 제품의 악성 버전은 더 이상 사용이 가능한 소프트웨어가 아니기 때문에 엑스트레이더 소프트웨어 공급망 공격의 현재 위협 정도는 범용화된 소프트웨어에 비해 상대적으로 낮은 편이다.

엑스트레이더의 악성 버전은 트레이딩 테크놀로지스 공식 다운로드 웹사이트에서 호스팅돼 트레이딩 테크놀로지스 웹 사이트에 계정이 있는 사람은 누구나 액세스해 2022년에 소프트웨어를 다운로드할 수 있었다.

맨디언트는 트레이딩 테크놀로지스 웹사이트가 이르면 2022년 초 맨디언트가 UNC4736으로 명명한 북한 공격 그룹에 의해 침해됐다고 추측했다.

또한 맨디언트는 UNC4736가 미국 국토안보부 산하 사이버·인프라보안국(CISA)가 발표한 바와 같이 금전적 목적의 북한 ‘애플제우스(AppleJeus)’ 멀웨어 활동과 관련이 있다고 추정했다. 이는 사이트에 손상된 엑스트레이더 소프트웨어가 배포되기 전인 2022년 2월 침해 사실을 보고한 구글 위협분석그룹(Threat Analysis Group; 이하 TAG)의 조사 결과를 통해서도 입증됐다.

아울러, 맨디언트는 3CX의 소프트웨어 공급망 공격과 트레이딩 테크놀로지스의 소프트웨어 공급망 공격의 배후를 모두 UNC4736로 지목했다. 

3CX 직원에 의해 엑스트레이더의 악성 버전이 다운로드된 후 설치 관리자가 setup.exe로 소프트웨어 설치를 실행하면서 3개의 파일이 자체에서 추출돼 최종적으로 베일드시그널(VEILEDSIGNAL)이라는 백도어가 생성됐다. 

해당 멀웨어는 공격자에게 3CX 직원의 컴퓨터에 대한 전체 관리 권한과 시스템 수준 권한을 부여하기 때문에 공격자가 3CX 직원의 컴퓨터를 손상시킬 수 있었다. 

이를 통해 공격자는 직원의 자격 증명을 갈취, 도용해 3CX의 시스템에 관리자로 액세스한 후, 최종적으로는 3CX의 윈도우 및 맥(Mac) 빌드 서버에 침투함. 따라서 공격자는 멀웨어 툴을 활용해 기업에서 사용하는 3CX의 완제품에 더 많은 악성코드를 심을 수 있었다.

맨디언트가 추측하는 공격 흐름은 다음과 같다.

먼저 북한의 한 공격자가 이르면 2021년경 알 수 없는 수단을 통해 트레이딩 테크놀로지스 웹사이트를 침해한다. 이후 트레이딩 테크놀로지스가 제공하는 소프트웨어 엑스트레이더를 침해한다. 다음은 3CX 직원이 엑스트레이더의 악성 버전을 다운로드해 설치한다. 

직원이 엑스트레이더의 악성 복사본을 설치한 결과, 북한 공격자는 3CX 개인용 컴퓨터와 궁극적으로 3CX 기업 네트워크 액세스 권한을 획득했다. 공격자가 이 멀웨어 액세스를 악용, 몇 주 간 3CX를 사용한 조직에 추가적으로 접근했다.

맨디언트 측은 이번 3CX 공급망 공격이 중요한 이유에 대해 “맨디언트 조사 이래 소프트웨어 공급망 공격이 또 다른 소프트웨어 공급망 공격으로 이어진 최초의 공격이다. 거대 공급망을 이용하는 공격자는 무조건 많은 피해자들의 액세스를 확보할 수 있다. 데이터 풀이 커질수록 잠재적 피해 조직 수가 증가하고 3CX는 엔터프라이즈 고객이 많기 때문에 만약 이 문제가 제때 발견되지 않았다면 더 다양한 조직이 피해를 입을 수 있었다. 이번 공격은 북한 공격자들의 사이버 공격 능력이 진화했다는 것을 방증하는 사례다. 이들은 액세스 권한을 얻으면 맞춤형 멀웨어와 대중적으로 사용 가능한 침투 테스트 툴을 혼합해 조직 내에서 수평적으로 해야 한다”라고 강조했다.