Daemon Tools 앱 공급망 공격으로 1개월간 백도어 감염
원제: Widely used Daemon Tools disk app backdoored in monthlong supply-chain attack
왜 중요한가
공식 채널을 통한 공급망 공격으로 보안업계의 디지털 서명 신뢰성 재검토 필요성이 대두됐다.
디스크 이미지 마운팅 앱 Daemon Tools이 4월 8일부터 한 달간 공급망 공격을 받아 공식 서명된 설치 파일을 통해 악성코드가 유포됐다고 카스퍼스키가 발표했다. 100여 개국 수천 대 기기가 감염되었으며, 12대는 추가 페이로드를 받았다.
보안업체 카스퍼스키는 널리 사용되는 디스크 이미지 마운팅 앱 Daemon Tools이 한 달간 공급망 공격을 받았다고 5일 발표했다. 공격은 4월 8일 시작되어 보고서 발표 시점까지 지속됐다. 공식 디지털 인증서로 서명된 설치 파일이 개발사 웹사이트에서 배포되며 사용자들을 감염시켰다. 영향받은 버전은 12.5.0.2421부터 12.5.0.2434까지의 윈도우용으로 보인다. 감염된 버전은 MAC 주소, 호스트명, DNS 도메인명, 실행 중인 프로세스, 설치된 소프트웨어, 시스템 로케일 등을 수집해 공격자 서버로 전송한다. 100여 개국 수천 대 기기가 표적이 되었으며, 이 중 소매, 과학, 정부, 제조업 조직의 12대 기기가 후속 페이로드를 받아 선별적 공격임을 시사한다. 카스퍼스키는 "공격자들이 매우 정교한 방식으로 Daemon Tools 침해를 조직했다"며 "탐지까지 약 한 달이 걸린 것은 2023년 3CX 공급망 공격과 비슷하다"고 분석했다.