최근 ESET 해외 보안 업체를 통해 공개된 북한 APT 해킹 조직 Lazarus의 베라포트(VeraPort) 프로그램을 통한 악성코드 유포 소식이 공개되었습니다.
▷ <WeLiveSecurity 블로그> Lazarus supply‑chain attack in South Korea (2020.11.16)
▷ <KISA 보안 공지> 위즈베라 통합 보안 설치 프로그램 베라포트(veraport) 보안 업데이트 권고 (2020.11.18)
베라포트(VeraPort) 프로그램은 인터넷뱅킹과 같은 웹 서비스 이용 시 설치를 요구하는 다수의 보안 프로그램(개인 PC 방화벽, PC 정보 수집, 공인인증 보안, 키보드 보안 등)을 통합 설치해주는 기능을 제공합니다.
그런데 VeraPort 3.8.5.0 버전 및 하위 버전이 설치된 PC 환경에서 공격자에 의해 변조된 VeraPort를 지원하는 웹 서버에 접속할 경우 PC에 설치되어 있는 VeraPort는 변조된 웹 서버에 구성 파일 정보를 요청하게 됩니다.
하지만 변조된 웹 서버에서는 구성 파일에 포함된 정보 중 일부를 수정하여 악성코드를 다운로드하도록 구성하여 사용자 PC에 전송하며, 이를 통해 VeraPort 통합 설치 프로그램은 해당 구성 정보를 참조하여 파일 다운로드 및 설치를 자동으로 진행하게 됩니다.
ESET 보안 업체에서 공개한 추가 다운로드된 2종의 악성코드 정보는 다음과 같습니다.
| 파일명 | Delfino.exe | MagicLineNPIZ.exe |
| 정상 인증서 정보 | WIZVERA Co,. Ltd. | Dreamsecurity Co., Ltd. |
| 악성코드 인증서 정보 | ALEXIS SECURITY GROUP, LLC | DREAM SECURITY USA INC |
| SHA-1 | 3d311117d09f4a6ad300e471c2fb2b3c63344b1d | 3abfec6fc3445759730789d4322b0be73dc695c7 |
| 진단명 | Trojan:Win32/Ymacco.AA91 (Microsoft) | 미확인 |
| 정상 파일 경로 | C:\Program Files (x86)\Wizvera\Delfino-G3\delfino.exe | C:\Program Files (x86)\DreamSecurity\MagicLine4NPIZ\MagicLineNPIZ.exe |
| 악성코드 파일 경로 | %Temp%\<12자리 Random 폴더명>\Delfino.exe | %Temp%\<12자리 Random 폴더명>\MagicLineNPIZ.exe |
해당 파일 정보로 추정해보면 Delfino.exe 악성 파일은 미국 보안 경비 서비스 제공 업체를 해킹하여 인증서를 탈취하여 악성코드에 추가하였으며, MagicLineNPIZ.exe 악성 파일은 국내 DreamSecurity 제작사의 미국 지사를 해킹하여 인증서를 탈취하여 악성코드에 추가한 것으로 보이며, 실제 공격은 2020년 6월~7월 사이에 이루어진 것이 아닌가 추정됩니다.
이에 따라 VeraPort 프로그램은 2020년 7월 27일경 VeraPort 3.8.5.1 버전 업데이트를 통해 취약점 문제를 수정한 것으로 보입니다.
근본적으로 VeraPort 통합 설치 프로그램의 기능이 웹 서버에 등록된 파일 다운로드 구성 파일을 체크하여 다수의 파일 다운로드 및 설치가 자동으로 진행되므로 구성 파일 접근 권한만 획득한다면 악성코드 유포를 쉽게 할 수 있는 보안상 위험성이 존재합니다.
그러므로 설치 프로그램 목록 중 "Veraport(보안모듈 관리 프로그램) G3"이 존재한다면 버전 정보를 확인하여 3.8.5.0 버전 및 하위 버전인 경우에는 제거를 하신 후 이용하시는 제작사에서 제공하는 설치 파일을 다운로드하여 재설치하시기 바랍니다.
마지막으로 위와 같은 인터넷뱅킹 웹 서비스 등을 이용을 위해 필수적으로 설치되는 각종 솔루션이 부담되는 경우에는 Oracle VM VirtualBox, VMware Workstation Player, Windows 10 샌드박스와 같은 가상 프로그램을 이용하는 것을 권장해 드립니다.