DAEMON Tools 공급망 공격, 전 세계 100개국 이상 피해 발생

공격자는 DAEMON Tools의 공식 설치 파일(Official Installer)에 악성 코드를 삽입하여 공급망 공격을 감행했다. 감염된 바이너리(Infected Binary)는 DTHelper.exe, DiscSoftBusServiceLite.exe, DTShellHlp.exe이며, 실행 시 백도어(Backdoor)가 활성화된다. 이 백도어는 C&C 서버(C&C Server)로 GET 요청을 보내고, 서버로부터 쉘 명령을 받아 실행하는 방식으로 동작한다. 특히, 악성 도메인(Malicious Domain)을 사용해 사용자들의 접근을 유도했다.

공격자는 감염된 시스템에서 정보 수집기(Information Collector)를 실행하여 시스템 정보를 수집했다. 수집된 정보는 MAC 주소, 호스트 이름, DNS 도메인, 실행 중인 프로세스 목록, 설치된 소프트웨어 목록, 시스템 로케일 등이다. 이 정보는 C2 서버로 전송되어, 추가적인 타겟 공격(Targeted Attack)을 위한 프로파일링(Profiling)에 활용되었다. 또한, 미니멀 백도어(Minimalistic Backdoor)를 통해 추가 페이로드 배포를 시도했다.

미니멀 백도어(Minimalistic Backdoor)를 통해 배포된 추가 페이로드 중 하나는 QUIC RAT이다. QUIC RAT은 C++로 작성되었으며, WolfSSL 라이브러리를 정적으로 링크하여 제작되었다. 이 RAT은 HTTP, UDP, TCP, WSS, QUIC, DNS, HTTP/3 등 다양한 C2 통신 프로토콜을 지원한다. QUIC RAT은 notepad.exe 및 conhost.exe 프로세스에 페이로드를 주입하는 기능을 가지고 있으며, 이는 공격의 정교함(Sophistication)을 보여준다.

공격의 배후는 아직 명확히 밝혀지지 않았지만, 정보 수집기 코드 내에서 중국어 문자열이 발견되어 중국 관련 해커 그룹의 소행일 가능성이 제기되었다. 피해 규모는 100개국 이상에서 수천 건의 감염 시도가 있었으며, 특히 러시아, 브라질, 터키 등에서 피해가 집중되었다. 공격은 타겟 공격(Targeted Attack)의 성격을 띠며, 정부, 과학, 제조, 소매 조직을 노린 것으로 보인다.