0xNews - 안드로이드 애뮬레이터인 NoxPlayer 를 통한 소프트웨어 공급망 Supply-Chain 공격 경고
0xNews - 안드로이드 애뮬레이터인 NoxPlayer 를 통한 소프트웨어 공급망 Supply-Chain 공격 경고
슬로바키아 보안회사 ESET 발표
Operation NightScout 명명
맞춤형 악성 업데이트를 통해 대만, 홍콩 등 거주자 대상으로 악성코드 배포 확인
NoxPlayer 는 홍콩에 본사를 둔 BigNox 가 개발
키보드, 게임패드, 스크립트 녹음과 다중 인스턴스를 지원하여 사용자가 PC 에서 모바일 게임을 즐길 수 있는 안드로이드 애뮬레이터
150개 이상 국가에서 1억 5천만명 이상 사용자가 있는 것으로 추정
BigNox 회사에서 제공한 정보
2020년 9월 최초로 공격 징후 확인
발표되는 이번주까지 악의적인 활동 확인과 함께 BigNox 에 해당 사건이 보고되도록 유도한 것으로 분석
문제의 감염된 소프트웨어와 감기 기능을 보여주는 악성코드를 통해 이를 통해 게임 커뮤니티에 관련된 대상에 대한 인텔리전스 수집 의도를 나타내는 것으로 파악
공격 전 NoxPlayer 업데이트 메커니즘은 설치 시 Gh0st RAT 와 같은 세가지 악성 페이로드를 전달
피해자를 감시
키 입력을 캡처
민감 정보 수집
등을 수행하는 트로이 목마화된 버전의 소프트웨어를 사용자에게 전달하는 벡터 역활을 수행
추적 분석한 결과 연구팀은 공격자가 제어하는 원격 서버에서 BigNox 업데이트 프로그램이 Poisonlvy RAT 와 같은 추가 악성 코드를 다운로드한 사례 발견
Poisonlvy RAT 는 초기 악성 업데이트 이후 활동에서 발견
공격자가 제어하는 인프라에서 다운로드
Fireeye 의 Poisonlvy RAT 분석 리포트 링크
https://www.fireeye.com/content/dam/fireeye-www/global/en/current-threats/pdfs/rpt-poison-ivy.pdf
Poisonlvy RAT 는 2005년 처음 발견
여러 유명 맬웨어 캠페인에서 사용
특히 2011년 RSA SecurID 데이터 손상에 사용
공격에 사용된 맬웨어 로더는 2018년 미얀마 대통령 사무실 웹 사이트 침해와 2020년 홍콩 대학 침해와 유사
연구팀은 이번 공격 배후에 있는 운영자가 맬웨어를 호스팅하기 위해 BigNox의 인프라를 침해
API 인프라가 손상되었을 가능성도 있을 것이라 추측
연구팀은 NoxPlayer 사용자라면 안전을 위해 컴퓨터 디스크 포멧과 재설치 권고
감염되지 않은 NoxPlayer 사용자의 경우 BigNox 가 위협 완화 후 알림과 업데이트 권고가 오기 전까지 설치하지 않는 것을 권고
현재 가장 확실한 것은 NoxPlayer 삭제
댓글
댓글 쓰기
글과 상관없는 댓글 작성은 발견 즉시 삭제합니다.