요약 : 보안 외신 블리핑컴퓨터에 의하면 블랙우드(Blackwood)라는 새로운 APT 단체가 출현해 공급망 공격처럼 보이는 ‘중간자 공격’을 저질렀다고 한다. 솔라윈즈(SolarWinds) 사태와 비슷해 보이는 공격을 실행시키는 데 성공한 것인데, 이번에 블랙우드가 침해한 것은 WPS오피스(WPS Office), QQ, Sogou Pinyin과 같은 애플리케이션들이다. 보안 업체 이셋(ESET)에 의하면 블랙우드는 이런 소프트웨어들의 업데이트 파일을 가로채고 자신들이 사용하는 멀웨어를 주입한 후 다시 배포했다고 한다. 솔라윈즈 사태 때는 공격자가 업데이트 서버에 침투했지만 블랙우드는 업데이트 서버와 클라이언트 간 HTTP 통신을 가로채는 것이라 완전히 똑같지는 않다.


배경 : 이번 캠페인에 사용되는 멀웨어는 NSPX30라고 한다. 2005년 발견된 프로젝트우드(Project Wood)라는 백도어를 기본으로 삼고 있는 멀웨어이며, 각종 데이터를 가로채는 기능을 가지고 있다. 프로젝트우드는 2008년 DCM이라는 멀웨어의 형태로 재등장하기도 했는데, 이셋은 NSPX30이 이 DCM을 변형시킨 것이라고 보고 있다.

말말말 : “블랙우드는 한 번도 발견된 적이 없는 조직입니다. 하지만 공격의 여러 가지 패턴이나 공격 도구들을 봤을 때 중국 해커들과의 교류가 있는 것으로 보입니다.” -이셋-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>