Passwordstate 공급망 공격으로 인해 29,000개 기업이 침해 위험에 노출
목차:
호주의 소프트웨어 생산업체 Click Studios가 보안 침해를 당하여 공급 체인 공격으로 이어졌습니다. 2020년 4월, 공격자들은 Click Studios의 Passwordstate 기업 비밀번호 관리 앱의 업그레이드 메커니즘을 성공적으로 훼손하여 사용자 기기에 Moserpass 악성코드를 전달했습니다. 현재 영향을 받은 고객 수는 알려지지 않았으나, 공급업체는 감염률이 매우 낮다고 주장하고 있습니다. 하지만 조사는 계속 진행 중이며, 최종 피해자 수가 늘어날 수 있습니다. 현재까지 전 세계적으로 29,000개 이상의 기업이 Passwordstate를 의존하여 Fortune-500 기업, 정부 기관, 국방 기관을 포함한 일상적인 프로세스를 관리하고 있습니다.
공급 체인 공격 세부 사항
공식 Click Studios 성명에 따르면, 보안 침해는 2021년 4월 20일 오후 8시 33분 UTC에서 2021년 4월 22일 오전 12시 30분 UTC 사이에 발생했습니다. 이 기간 동안 서비스를 업그레이드한 고객은 기업 시스템이 위험에 처할 수 있습니다.
CSIS Group 의 연구에 따르면, 공격을 조사하는 보안 회사인 CSIS Group의 연구에 따르면, 악의적인 행위자들이 Click Studios 웹사이트에 있는 디렉터 파일을 훼손하여 Passwordstate 앱의 업그레이드 메커니즘에 간섭했습니다. 특히, 해커들은 업데이트를 악의적인 “Moserware.SecretSplitter.dll” 라이브러리로 수정했으며, 이는 “Loader”라는 작은 코드 조각의 도움으로 삽입되었습니다. 그 결과, 일반적인 업데이트가 피해자에게 패스워드스테이트_업그레이드.zip 파일 형태로 Moserpass 악성코드를 전달했습니다. 주목할 점은 거친 DLL이 2021년 4월 22일 오전 7시 UTC에 종료된 콘텐츠 배포 네트워크(CDN)에 의존했다는 것입니다. “Moserware.SecretSplitter.dll” 라는 라이브러리를 삽입했으며, 이는 “Loader이라는 작은 코드 조각의 도움으로 삽입되었습니다. 파일이었습니다. 주목할 점은, 거친 DLL이 2021년 4월 22일 오전 7시 UTC에 종료된 콘텐츠 배포 네트워크(CND)에 의존했다는 것입니다. file. Notably, the rough DLL relied on a Content Delivery Network (CND) that was terminated on 22nd of April 2021, 7 AM UTC.
모서패스 악성 기능
감염되면, Moserpass 악성코드는 민감한 시스템 및 Passwordstate 데이터를 수집하여, 공격자의 제어 하에 있는 명령 및 제어(C&C) 서버로 전송할 수 있습니다. 구체적으로, 이 악성 소프트웨어는 컴퓨터 이름, 사용자 이름, 도메인 이름, 현재 프로세스 이름, 현재 프로세스 ID, 실행 중인 모든 서비스의 이름, Passwordstate 설치의 프록시 서버 주소, Passwordstate 자격 증명 등을 덤프합니다. 그러나, 도메인 이름과 호스트 이름은 이 악성 과정의 일부로 수집되지 않습니다. 또한, 암호화 키나 데이터베이스 연결 문자열이 공격자의 C&C로 전송된 증거는 없습니다. 데이터를 수집하고 업로드한 후, Moserpass 악성코드는 24시간 동안 휴면하며 악성 활동을 재개합니다.
Passwordstate 자격 증명이 암호화된 고객은 Moserpass가 그러한 데이터를 수집할 수 있는 기능이 없기 때문에 안전한 것으로 간주됩니다.
탐지 및 완화
Click Studios는 고객에게 가능한 한 빨리 비밀번호를 변경할 것을 촉구하고 있습니다. 또한, 공급업체는 관련 완화 단계를 제공하는 상세한 자문을 발행했습니다. 자문을 발표했습니다. 조직의 인프라를 보호하고 가능한 악성 활동을 탐지하기 위해, SOC Prime의 고객은 위협 탐지 마켓플레이스에서 최신 탐지 규칙 세트를 다운로드할 수 있습니다. 모든 콘텐츠는 직접적으로 MITRE ATT&CK® 프레임워크에 매핑되며 관련 참조 및 설명이 포함되어 있습니다:
To detect possible malicious activity and protect your organizational infrastructure, SOC Prime’s customers can download a set of the latest detection rules published in Threat Detection Marketplace. All content is directly mapped to the MITRE ATT&CK® framework and contains the corresponding references and descriptions:
- PasswordState 소프트웨어가 손상되었을 가능성 식별 [공급 체인 공격] (cmdline 통해)
- PasswordState 소프트웨어가 손상되었을 가능성 식별 [공급 체인 공격] (image_load 통해)
- PasswordState 소프트웨어가 손상되었을 가능성 식별 [공급 체인 공격] (프록시 통해)
사이버 방어 능력을 강화하기 위해 위협 탐지 마켓플레이스를 무료로 구독하십시오. 우리의 SOC 콘텐츠 라이브러리는 100,000개 이상의 탐지 및 응답 규칙, 파서, 검색 쿼리 및 기타 관련 SOC 콘텐츠를 포함하여 증가하는 사이버 공격 수에 대응할 수 있습니다. 최신 사이버 보안 동향을 주의 깊게 관찰하고 위협 사냥 활동에 참여하고 싶습니까? 위협 현상금 프로그램에 참여하여 세계의 안전에 기여할 기회를 잡으세요.
