PC 최적화 툴 「CCleaner」를 발판으로 한 표적형 공격 말웨어 혼입 경로가 판명

PC 최적화 툴 「CCleaner」를 발판으로 한 표적형 공격 말웨어 혼입 경로가 판명

2017년8월에서 9월에 걸쳐서, PC 최적화 툴 「CCleaner」에 말웨어가 혼입된 상태로 배포되어, 인텔이나 마이크로소프트, 소니, 후지츠 등 세계 대기업에 표적형 공격이 실행된 사건이 발생했습니다. 이 건에 대해서, CClearner 개발원을 매수한 보안 관련 기업 Avast가 조사 결과를 2018년4월17일에 공개하고, 해커는 리모트 로그인 서비스 「TeamViewer」를 사용해서 5개월전에 서버에 침입해서 백 도어를 만들었던 것 등을 밝혔습니다.

최초에 공격자가 어프로치를 한 것은, 현지 시간 2017년3월11일 오전 5시. 이것은, Avast가 CClearner 개발원 「Piriform」을 매수하는 4개월전입니다. 공격자는 TeamViewer로부터 Piriform사내 워크스테이션에 싱글 로그인으로 부정침입. 그 때 인증은 정상적으로 실시된 것으로, 이것은 즉, 공격자가 사전에 맞은 인증 정보를 입수한 것을 나타내고 있습니다.

남아있었던 로그·파일을 해석한 결과, 공격자는 PC가 사람이 없는 상태로 가동한 오전 5시에 TeamViewer경유로 부정한 DLL 인스톨 2종을 시도했습니다만, 관리 권한이 없었기 때문에 2번 실패. VBScript를 사용한 3번째 트라이로 드디어 성공했습니다.

그 다음날, 3월12일 오전 4시에 공격자는 침입 범위를 넓혀, Microsoft의 Remote Desktop Service 경유로 다른 PC에 백 도어를 설치하는 것에 성공했습니다.

게다가, 3월14일에는 최초에 침입한 워크스테이션에 다시 액세스하고, 말웨어를 감염시켰습니다.

그 후 몇주일에 걸쳐, 공격자는 표면화 한 액션은 일으키지 않았던 것으로, Avast에서는 이 기간에 공격자가 백 도어를 통해서 Piriform사내 시스템에서 관리자 권한 등 정보를 훔쳐냈다고 보고 있습니다. 또, 이 단계에서, 다음 단계의 공격에 대비하기 위해서, 해커는 사이버 공격 툴로서 알려지는 백 도어 「ShadowPad」를 사내 시스템에 잠입시킨 것도 알게 되었습니다.

이렇게하여 다양한 정보나 수단을 취득한 공격자는, CCleaner 빌드 서버를 포함하는 컴퓨터 4대에 정규인 「mscoree.dll」라이브러리에 가장한 ShadowPad를 설치했습니다. 이 단계에서 공격을 실행하는 환경은 정돈되었습니다만, 공격은 실행되지 않은 채 7월19일에 Piriform은 Avast에 의해 매수됩니다. 그 후, 8월2일에 매수후 첫버전이 되는 CCleaner가 출시되었습니다. 공격자는 요사이, 일절의 공격을 보류했습니다만, 9월에 들어가서 드디어 공격을 시작했습니다.

Avast에 의하면, ShadowPad를 사용한 공격이, 이전에 한국이나 러시아에서 실행되었다고 해, 그리고 가장 낡은 ShadowPad는 2014년에 개발되었다고 밝혀져 있다고 합니다. 이러한 것부터, 사실은 CCleaner를 사용한 표적형 공격은 새로운 것이 아니고, 2014년경부터 전개된 공격 방법이었던 가능성이 있습니다.

이번 조사를 정리하면, 기업 M&A(합병 매수)가 실시될 때의 상당의 주의에서는, 기업의 재무면이나 법무면 조사뿐만 아니라, 사이버 보안 면에 있어서도 마찬가지로 중점을 두고, 조사해야 한다고 합니다. 또, 이번 공격에서는 말웨어가 정규인 다운로드 서버에서 배포되고, 배포원인 Piriform에 대한 「공급망 공격」이었던 것부터, 각기업은 자기 회사뿐만 아니라 공급망 보안 대책도 할 필요가 있다고 했습니다.