뉴스 사이트들에 콘텐츠 공급하던 회사 통한 멀웨어 유포...공급망 공격

요약 : 사이버 공격자들이 미국의 뉴스 매체를 통해 멀웨어를 퍼트리고 있다고 IT 외신 블리핑컴퓨터가 보도했다. 이 기업과 관련된 뉴스 웹사이트는 수백 개가 넘는다고 하며, 따라서 각종 뉴스 사이트에 접속한 수많은 독자들이 페이크업데이츠(FakeUpdates)라는 자바스크립트 기반 멀웨어에 감염되고 있다고 한다. 보안 업체 프루프포인트(Proofpoint)는 공격자가 TA569라고 하며, 가짜 업데이트인 것처럼 위장된 자바스크립트는 속골리시(SocGholish)라는 멀웨어를 최종적으로 설치한다고 한다.


배경 : 감염된 뉴스 사이트에 접속하면 사용자는 업데이트 알람을 받게 된다. 대부분 뉴스를 원활히 보려면 브라우저를 업데이트 해야 한다는 안내가 나오면서, 각종 zip 파일을 다운로드 받으라는 창이 뜬다. 사용자의 브라우저에 따라 파일 이름이 조금씩 바뀌는데, ChromeUpdate.zip, OperaUpdate.zip과 같은 식이다.

말말말 : “이 사건으로 영향을 받은 뉴스 매체는 250개가 넘습니다. 공격을 받은 회사가 각종 뉴스 사이트에 영상 및 광고 콘텐츠를 제공하는 회사였기 때문입니다. 즉, 일종의 공급망 공격이 이뤄진 것이라고 볼 수 있습니다.” -프루프포인트-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>