Home > 전체기사

PC용 앱 플레이어 악용한 공급망 공격 발견... 게임 업계 노린 표적 공격 추정

  |  입력 : 2021-02-10 18:20
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
이셋, 최근 안드로이드 에뮬레이터 녹스 플레이어 공급망 악용해 악성코드 유포한 사례 발견
사용자는 녹스 플레이어 즉시 삭제하고, 보안 위협 제거했다는 공지 이후 다시 사용해야


[보안뉴스 이상우 기자] 안드로이드 에뮬레이터 녹스 플레이어(NoxPlayer)를 악용한 공급망 공격이 발견돼 사용자 주의가 필요하다. 글로벌 보안 기업 이셋(ESET)은 최근 녹스 플레이어 업데이트 매커니즘을 변조해 공격자가 침투한 뒤 세 가지 형태의 맞춤형 악성 업데이트를 배포한 것을 발견했다고 밝혔다. 이셋은 이들 조직을 나이트 스카우트(NigthScout)로 명명하고, 이번 공격은 금전적 이득보다는 감시 및 정보 유출 기능만 확인됐다고 덧붙였다.

▲이번 공급망 공격의 표적 사용자가 소재한 국가[자료=이셋]


녹스 플레이어는 맥OS, 윈도우 등 타 운영체제 기반 장치에서 안드로이드 애플리케이션을 실행할 수 있도록 해주는 가상화 소프트웨어다. 주로 모바일 게임을 데스크톱이나 노트북 등에 설치해 실행하는 용도로 쓰이며, 약 150개 국가에서 1억 5,000만 명의 사용자를 보유하고 있다.

이셋 연구원은 “ESET 원격 분석을 기반으로 2020년 9월에 첫 번째 감염 지표를 확인했으며, 이번 주 명백한 악성 활동을 발견했다. 해당 내용을 녹스 플레이어 개발사에 전달할 때까지 악성 활동이 지속된 것으로 보인다”고 말했다.

또한, “특히, 이번 공격은 소수의 피해자만 식별한 고도로 표적 작업으로, 확인된 피해자는 대만, 홍콩, 스리랑카 등에 소재하고 있다. 감염된 소프트웨어와 악성코드에 포함된 감시 기능을 바탕으로 게임 업계와 관련한 대상에 대해 정보를 수집한 것으로 생각한다”고 덧붙였다.

사용자가 녹스 플레이어 실행 시 최신 버전일 경우, 해커가 침입한 업데이트 인프라는 이를 감지해 추가적인 업데이트를 내려받으라고 안내해 악성 업데이트를 설치하도록 한다. 해당 인프라가 공격돼 악성코드를 호스팅한 셈이다. 뿐만 아니라 클라이언트 자체가 공격자가 만들어놓은 서버에서 추가 페이로드를 내려받은 경우도 있다고 설명했다. 이셋은 과거 이러한 방식이 2018년 미얀마 대통령 사무실 웹 사이트 공급망 공격, 2020년 홍콩 대학 공격 등과 비슷한 유형이라고 덧붙였다.

이셋은 “녹스 플레이어 개발사인 빅녹스(BigNox)가 위협을 제거했다는 알림을 보낼 때까지 업데이트를 진행하지 말아야 하며, 소프트웨어를 제거하는 것이 가장 안전하다”고 말했다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

조현정 2021.02.12 13:37

PC용 앱 플레이어 악용한 공급망 공격 발견으로 게임 업계 노린 표적 공격이 추정된다는 기사 잘 봤습니다! PC용 앱 플레이어의 악용이 종식되길 기원합니다.


  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 상반기 발생했던 보안 사건 가운데 가장 파급력이 컸던 이슈는 무엇이라고 보시나요?
솔라윈즈 사건
콜로니얼 파이프라인 사건
카세야 사건
익스체인지 서버 취약점 사건
원자력연구원/KAI 해킹 사건
국내 대기업 주요 정보 다크웹 유출 사건
기타(댓글로)