Microsoft Defender가 DigiCert 인증서를 Trojan:Win32/Cerdigent.A!dha 로 잘못 표시
Source: Bleeping Computer
Background
- Discovery – 사이버 보안 연구원 Florian Roth 은 이 문제가 2024년 4월 30일 Microsoft가 Defender 서명 업데이트에 탐지를 추가한 이후에 나타났다고 언급했습니다.
- Reports – 전 세계 관리자는 Reddit에 이 문제에 대해 게시하기 시작했습니다:
영향을 받은 인증서
다음 DigiCert 루트 인증서가 악성으로 확인되었습니다:
0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43DDFB16CD4931C973A2037D3FC83A4D7D775D05E4
이 인증서들은 레지스트리 키 아래의 AuthRoot 저장소에서 제거되었습니다:
HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\영향
- 사용자들은 시스템이 감염되었다는 경고를 보았습니다.
- 일부 사용자는 감염을 “청소”하기 위해 Windows를 재설치하기로 선택했습니다.
- 이러한 오탐이 Windows 보안 생태계에 대한 신뢰를 약화시켰습니다.
수정
Microsoft는 Security Intelligence 업데이트 1.449.430.0(최신 버전은 1.449.431.0)에서 수정 사항을 배포했습니다. 이 업데이트는:
- 잘못된 탐지를 제거합니다.
- 이전에 삭제된 모든 인증서를 복원합니다.
“이 수정은 영향을 받은 시스템에서 이전에 제거된 인증서도 복원합니다.” – Reddit 토론: r/cybersecurity – Trojan:Win32/Cerdigent.A!dha
업데이트를 수동으로 적용하는 방법
- Windows 보안을 엽니다.
- 바이러스 및 위협 방지 → 보호 업데이트로 이동합니다.
- 업데이트 확인을 클릭합니다.
시스템이 인터넷에 연결되어 있으면 업데이트가 자동으로 설치됩니다.
Visual Reference
Source: Reddit comment
최신 업데이트를 적용한 후에도 경고가 계속 표시된다면, Microsoft 지원팀에 문제를 보고하고 영향을 받은 인증서가 AuthRoot 저장소에 존재하는지 확인하십시오.
최근 DigiCert 위반 가능성
거짓 양성은 공개된 DigiCert 보안 사고 직후에 나타났으며, 이 사고를 통해 위협 행위자는 악성코드 서명을 위한 유효한 코드‑서명 인증서를 획득할 수 있었습니다.
사건 요약
- 대상: 고객 지원 팀 구성원.
- 결과: 위협 벡터는 탐지 후 차단되었습니다.
“우리의 후속 조사 결과, 위협 행위자는 제한된 수의 코드‑서명 인증서에 대한 초기화 코드를 획득했으며, 그 중 일부가 악성코드 서명에 사용되었습니다.” – DigiCert 사고 보고서
- 폐기: 식별된 인증서는 발견 후 24시간 이내에 폐기되었으며, 폐기 날짜는 발급 날짜와 동일하게 설정되었습니다.
- 예방 조치: 영향을 받은 기간 내에 진행 중이던 주문은 취소되었습니다. 전체 사고 보고서에서 추가 세부 정보를 제공할 예정입니다.
공격 타임라인
- 4월 초 – 초기 침해
- 공격자는 스크린샷으로 위장한 악성 ZIP 파일이 포함된 지원 메시지를 보냈습니다.
- 다수 차단 시도
- 여러 차단 시도 후, 한 지원 분석가의 장치가 침해되었습니다.
- 2차 침해
- 두 번째 시스템은 엔드포인트 보호 “센서 격차”로 인해 일정 기간 동안 탐지되지 않았습니다.
악용된 기능
침해된 지원 환경에 대한 접근을 이용해 공격자는 DigiCert 내부 지원 포털의 기능을 활용했으며, 이 기능을 통해 직원이 고객 관점에서 고객 계정을 볼 수 있었습니다. 이 노출을 통해 공격자는 다음을 얻었습니다:
- 초기화 코드 – 이전에 승인되었지만 아직 전달되지 않은 EV 코드‑서명 인증서 주문에 대한 코드.
“초기화 코드를 보유하고 승인된 주문과 결합하면 결과 인증서를 얻기에 충분합니다(아래 ‘기여 요인’ 논의 참조).” – DigiCert
두 정보를 모두 확보함으로써 위협 행위자는 제한된 수의 승인된 주문에 대해 EV 코드‑서명 인증서를 획득했습니다.
영향
- 폐기된 인증서: 60개의 코드‑서명 인증서.
- 악성코드 캠페인: “Zhong Stealer” 캠페인과 연관된 27개의 인증서.
- 탐지 출처:
- 커뮤니티가 제출한 인증서 문제 보고서를 통해 확인된 인증서 11개.
- DigiCert 내부 조사 중 확인된 인증서 16개.
전체 기술 분석 및 전체 사고 보고서는 DigiCert 공식 커뮤니케이션을 참고하십시오.
Zhong Stealer Malware Campaign
이 캠페인은 보안 연구원들이 새로 발급된 DigiCert EV 인증서가 악성코드 운영에 악용되는 사례를 관찰하고 DigiCert에 해당 악용을 보고한 이전 보고서와 연결됩니다.
Affected Certificates
Squiblydoo, MalwareHunterTeam, g0njxa 등 연구원들은 Lenovo, Kingston, Shuttle Inc., Palit Microsystems와 같은 잘 알려진 기업에 발급된 EV 인증서가 악성 바이너리를 서명하는 데 사용되고 있음을 발견했습니다.
“Lenovo, Kingston, Shuttle Inc., 그리고 Palit Microsystems가 공통적으로 가지고 있는 것은 무엇일까요?” – Squiblydoo on X
“이 기업들의 EV 인증서는 중국 범죄 조직 #GoldenEyeDog (#APT‑Q‑27)에 의해 발급 및 사용되었습니다!”
Malware Overview
캠페인에 사용된 악성코드의 이름은 Zhong Stealer입니다. 이름은 인포스틸러를 연상시키지만, 분석 결과 이는 원격 액세스 트로잔(RAT)과 더 유사하게 동작합니다.
Distribution Chain
연구원들은 일반적인 감염 흐름을 다음과 같이 설명했습니다:
- Phishing email – 가짜 이미지 또는 스크린샷을 전달합니다.
- First‑stage executable – 피해자에게 미끼 이미지를 표시합니다.
- Second‑stage payload – 클라우드 스토리지(예: AWS)에서 가져옵니다.
- Signed binaries & loaders – 손상된 EV 인증서로 서명된 구성 요소를 포함하며, 종종 정식 공급업체와 연결됩니다.
DigiCert Incident
DigiCert가 침해 사실을 공개한 후, 사고 보고서에서는 공격자가 이 캠페인에 사용된 인증서를 어떻게 확보했는지 상세히 설명했습니다.
- Microsoft는 Defender 탐지가 DigiCert 사고와 직접적인 연관이 있다고 공식 확인하지 않았습니다.
- Microsoft Defender에서 표시된 인증서는 Windows 신뢰 저장소에 있는 루트 인증서이며, 악성코드 서명에 사용된 폐기된 DigiCert 코드 서명 인증서와 일치하지 않습니다.
BleepingComputer은 캠페인이 DigiCert 침해와 직접 연결되어 있는지 여부를 확인하기 위해 Microsoft에 추가 설명을 요청했습니다.
