CrowdStrike에서는 Falcon Sensor 업데이트 실패를 이용해 독일 고객을 표적으로 삼아 의심스러운 설치 프로그램을 배포하려는 알려지지 않은 위협 행위자에 대해 경고하고 있습니다.
사이버 보안 회사는 2024년 7월 24일에 출처가 확인되지 않은 스피어피싱 시도를 확인했으며, 이름이 밝혀지지 않은 독일 기관을 사칭한 웹사이트를 통해 가짜 CrowdStrike Crash Reporter 설치 프로그램을 배포했다고 밝혔습니다.
이 사기성 웹사이트는 7월 20일에 만들어진 것으로 알려졌는데, 이는 업데이트 실패로 인해 전 세계적으로 900만 대에 달하는 윈도우 기기가 작동을 멈추고 광범위한 IT 중단을 야기한 지 하루 만이다.
CrowdStrike의 Counter Adversary Operations 팀은 “사용자가 다운로드 버튼을 클릭하면 웹사이트가 JQuery v3.7.1로 위장한 JavaScript(JS)를 활용해 설치 프로그램을 다운로드하고 난독화를 해제합니다.”라고 밝혔습니다.
“설치 프로그램에는 CrowdStrike 브랜드, 독일어 현지화가 포함되어 있으며, 맬웨어 설치를 계속하려면 비밀번호가 필요합니다.”
구체적으로, 스피어피싱 페이지에는 악성 InnoSetup 설치 프로그램이 포함된 ZIP 아카이브 파일의 다운로드 링크가 있었고, 실행 파일을 제공하는 악성 코드는 탐지를 피하기 위한 노력으로 “jquery-3.7.1.min.js”라는 JavaScript 파일에 삽입되었습니다.
가짜 설치 프로그램을 실행한 사용자는 더 진행하기 위해 “백엔드 서버”를 입력하라는 메시지를 받습니다. CrowdStrike는 설치 프로그램을 통해 배포된 최종 페이로드를 복구할 수 없다고 밝혔습니다.
이 캠페인은 설치 프로그램이 암호로 보호되어 있고 대상 엔터티에게만 알려진 입력이 필요하다는 사실 때문에 매우 타겟팅된 것으로 평가됩니다. 또한 독일어가 있다는 것은 이 활동이 독일어를 사용하는 CrowdStrike 고객을 대상으로 한다는 것을 시사합니다.
CrowdStrike은 “위협 행위자는 이 캠페인 동안 포렌식 방지 기술에 집중했기 때문에 운영 보안(OPSEC) 관행을 잘 알고 있는 것으로 보인다”고 밝혔습니다.
“예를 들어, 해당 행위자는 it(.)com 도메인 아래에 하위 도메인을 등록하여 도메인 등록 세부 정보에 대한 과거 분석을 방해했습니다. 또한 설치 프로그램 콘텐츠를 암호화하고 암호 없이 추가 활동이 발생하지 않도록 하면 추가 분석 및 귀속이 불가능합니다.”
이러한 개발은 CrowdStrike 업데이트 문제를 악용하여 스틸러 맬웨어를 확산하는 피싱 공격의 물결 속에서 이루어졌습니다.
- Microsoft Installer(MSI) 로더가 포함된 불법 보관 파일을 호스팅하는 피싱 도메인 crowdstrike-office365(.)com은 궁극적으로 Lumma라는 상품 정보 도용 도구를 실행합니다.
- Python 기반 정보 도용 악성 프로그램인 Connecio가 포함된 ZIP 파일(“CrowdStrike Falcon.zip”)은 다양한 웹 브라우저에서 시스템 정보, 외부 IP 주소 및 데이터를 수집하여 Pastebin의 필수 URL에 나열된 SMTP 계정으로 유출시킵니다.
목요일, CrowdStrike의 CEO 조지 커츠는 전 세계적인 IT 서비스 중단으로 인해 오프라인이 된 Windows 기기의 97%가 현재는 작동 중이라고 밝혔습니다.
“CrowdStrike에서 저희의 사명은 여러분의 운영을 보호하여 여러분의 신뢰를 얻는 것입니다. 이 중단으로 인해 발생한 혼란에 대해 깊이 사과드리며, 영향을 받은 모든 분께 개인적으로 사과드립니다.” Kurtz가 말했습니다. “완벽함을 약속드릴 수는 없지만, 집중적이고 효과적이며 긴박감을 느낄 수 있는 대응을 약속드릴 수 있습니다.”
이전에 회사의 최고 보안 책임자인 숀 헨리는 “좋은 사람들을 나쁜 일로부터 보호하지 못한 것”에 대해 사과했으며, “우리가 보호하겠다고 약속한 사람들을 실망시켰다”고 말했습니다.
“수년에 걸쳐 물방울에 쌓은 신뢰는 몇 시간 만에 양동이에 담겨 사라졌고, 그것은 배에 큰 일격이었습니다.” 헨리가 인정했습니다. “우리는 당신을 표적으로 삼는 적을 방해하는 데 필요한 보호를 제공하여 당신의 신뢰를 다시 얻는 데 전념합니다. 이러한 좌절에도 불구하고 임무는 지속됩니다.”
한편, Bitsight는 전 세계 조직의 CrowdStrike 머신에서 나타난 트래픽 패턴을 분석한 결과 추가 조사가 필요하다고 밝힌 두 가지 “흥미로운” 데이터 포인트를 발견했습니다.
“첫째, 7월 16일 오후 10시경에 엄청난 트래픽 급증이 있었고, 그 후 조직에서 CrowdStrike로의 이탈 트래픽이 명확하고 상당히 감소했습니다.” 보안 연구원 페드로 움벨리노가 말했습니다. “둘째, 19일이 시작된 후 CrowdStrike Falcon 서버에 연결된 고유 IP와 조직의 수가 15%에서 20% 사이로 상당히 감소했습니다.”
“16일 교통 패턴 변화의 근본 원인이 무엇인지 추론할 수는 없지만, ’16일 관찰 결과와 19일 정전 사이에 상관 관계가 있는가?’라는 근본적인 의문이 제기될 수 있습니다.”
업데이트
IT 서비스 중단의 전체적인 영향은 아직 집계되지 않았지만, 클라우드 보험 서비스 회사인 Parametrix Solutions에 따르면 이 사건으로 인해 Fortune 500 기업의 약 4분의 1이 영향을 받았고, 직접적인 재정 손실이 54억 달러(Microsoft 제외)에 달했다고 합니다. 이 중 19억 4,000만 달러는 의료 분야에서, 11억 5,000만 달러는 은행 분야에서, 8억 6,000만 달러는 항공 분야에서 발생했습니다.
Windows 서비스 및 제공을 담당하는 프로그램 관리 부사장인 John Cable은 이 사건이 “모든 조직에서 임무 수행에 중요한 복원력이 필요함을 강조한다”고 말했습니다.
케이블은 “이러한 개선 사항은 지속적인 보안 개선과 함께 진행되어야 하며 Windows 생태계의 보안에 대해 깊이 관심을 갖고 있는 많은 파트너와 긴밀히 협력해야 합니다.”라고 말하며 기업에 주요 사고 대응 계획(MIRP)을 수립하고 정기적으로 데이터를 백업하고 배포 링을 활용하며 Windows 보안 기준선을 활성화할 것을 촉구했습니다.
Windows에서 위협을 감지하려면 커널 수준 액세스가 필요한 엔드포인트 감지 및 대응(EDR) 소프트웨어의 경우, 이러한 파괴적인 사건으로 인해 Microsoft가 전체적인 접근 방식을 재고하게 된 것도 바람직한 결과인 듯합니다.
레드먼드는 5월에 도입한 가상화 기반 보안(VBS) 인클레이브와 같은 대체 기능을 타사 개발자가 사용하여 “커널 모드 드라이버가 변조 방지 기능을 필요로 하지 않는 격리된 컴퓨팅 환경”을 만들 수 있다고 말했습니다. 또 다른 보안 솔루션인 Azure Attestation은 “플랫폼의 신뢰성과 그 안에서 실행되는 바이너리의 무결성”을 원격으로 검증할 수 있습니다.