Notepad++ 공급망 공격, 3가지 감염 체인과 대응 전략 공개

by DD
4개월 전
조회수 14

개발자들에게 인기 있는 텍스트 편집기인 Notepad++의 업데이트 인프라가 공격받아, 악성코드 유포

2025년 6월부터 12월까지, 3가지 다양한 감염 체인(Infection Chains)을 통해 공격이 진행됨

공격자들은 C2 서버 주소, 다운로더, 페이로드(Payload)를 지속적으로 변경하며 공격을 시도

NSIS 설치 프로그램(NSIS Installers)을 활용하여 시스템 정보 수집 및 추가 페이로드 실행

다양한 감염 체인(Infection Chains) 분석

공격자들은 2025년 7월부터 10월까지, 최소 3가지의 감염 체인(Infection Chains)을 사용하여 악성코드를 유포했다. 각 체인은 C2 서버(C2 Server) 주소, 다운로더(Downloaders), 최종 페이로드(Payload)를 변경하는 방식으로 구성되었다. 첫 번째 체인은 시스템 정보 수집 후, ProShow.exe를 악용하여 Cobalt Strike Beacon을 실행했다. 두 번째 체인은 Lua 스크립트를 활용하여 Metasploit 다운로더(Metasploit Downloader)를 실행, Cobalt Strike Beacon을 로드했다. 세 번째 체인은 Chrysalis 백도어(Backdoor)를 직접 로드하는 방식으로 진행되었다.

공격 기법: NSIS 설치 프로그램(NSIS Installers) 활용

공격자들은 세 가지 감염 체인 모두에서 NSIS 설치 프로그램(NSIS Installers)을 사용했다. 이 설치 프로그램은 시스템 정보를 수집하고, 추가 페이로드를 실행하는 역할을 수행했다. 특히, 시스템 정보 수집을 위해 `whoami`, `tasklist`, `systeminfo`, `netstat -ano` 등의 쉘 명령어를 실행하고, `temp[.]sh`를 통해 정보를 업로드했다. 이러한 방식은 공격의 은밀성을 높이는 동시에, 데이터 미저장 정책(Zero-Retention Policy)을 우회하는 시도로 해석된다.

공격 대상 및 피해 규모

공격은 개인, 정부 기관, 금융 기관, IT 서비스 제공업체 등 다양한 대상을 목표로 했다. 피해 대상은 베트남, 엘살바도르, 필리핀, 호주 등에 위치해 있었다. 공격자들은 공급망 공격(Supply Chain Attack)을 통해, 신뢰할 수 있는 업데이트 채널을 악용하여 피해를 극대화했다. 이러한 공격은 특정 타겟을 대상으로 하는 지능형 지속 위협(APT, Advanced Persistent Threat)의 전형적인 사례로 볼 수 있다.

대응 방안: IoC(Indicators of Compromise) 활용

공격의 흔적을 찾기 위해, NSIS 설치 프로그램 배포 여부, `temp[.]sh` 도메인 DNS 확인, 악성 쉘 명령어 실행 여부 등을 확인해야 한다. 또한, 기사에서 제공하는 IoC(Indicators of Compromise), 즉 악성 도메인, 파일 해시, 파일 경로 등을 활용하여 시스템을 검사해야 한다. 패키지 매니저(Package Managers)를 통해 소프트웨어를 설치하고, 암호화된 서명(Cryptographic Verification)을 사용하는 것이 추가적인 방어 계층을 제공할 수 있다.

Notepad++ supply chain attack breakdown