최근 공급망 공격이 보안 업체인 Checkmarx와 Bitwarden를 겨냥한 이유
Source: Ars Technica
Overview
2023년 3월 23일에 시작된 최근 공급망 공격이 보안 기업인 Checkmarx와 Bitwarden의 데이터를 노출시켰습니다. 이 침해는 Checkmarx의 GitHub 저장소에서 시작되었으며, 더 넓은 Trivy 캠페인의 일부였습니다.
Checkmarx Breach
“현재 증거에 따르면 이 데이터는 Checkmarx의 GitHub 저장소에서 유출되었으며, 해당 저장소에 대한 접근은 2023년 3월 23일의 최초 공급망 공격을 통해 이루어졌습니다.”라고 Checkmarx는 월요일에 밝혔습니다. 회사는 유출된 데이터의 구체적인 유형을 공개하지 않았습니다.
Bitwarden Breach
Socket은 Bitwarden도 동일한 공급망 공격에 의해 손상되었다고 보도했습니다. 페이로드가 Checkmarx 악성코드와 동일한 명령‑제어(C2) 엔드포인트와 핵심 인프라를 사용했기 때문에 Trivy 캠페인과 연결되었습니다.
The Trivy Attack and TeamPCP
Trivy 공격은 TeamPCP라는 이름의 그룹에 의해 수행되었습니다. 이 그룹은 액세스‑브로커(access‑broker)로 활동하는 것으로 알려져 있습니다. 액세스 브로커는:
- 피해자로부터 자격 증명을 탈취합니다.
- 그 자격 증명을 다른 위협 행위자에게 판매합니다.
TeamPCP의 전략은 이미 특권 접근 권한을 보유하고 있는 도구들을 표적으로 삼는 데 초점을 맞추고 있습니다.
Connection to Lapsu$
Checkmarx 사건에서 TeamPCP는 **Lapsu$**라는 랜섬웨어 그룹에 접근 자격 증명을 판매했습니다. Lapsu$는 주로 청소년들로 구성된 그룹으로, 대규모 조직을 침투하는 기술적 역량과 성공적인 공격 후 피해자를 조롱하는 경향으로 알려져 있습니다.
Impact and Implications
이 사건들은 단일 침해가 가져올 수 있는 연쇄 효과를 보여줍니다:
- Checkmarx와 Bitwarden 모두 영향을 받아, 이들의 고객이나 파트너에 대한 후속 공격 위험이 증가했습니다.
- 초기 침해로부터 하위 시스템이 추가로 손상될 가능성이 있습니다.
Socket CEO Feross Aboukhadijeh는 보안 조직이 매력적인 표적이 되는 이유는 그들의 제품이 민감한 데이터를 처리하고 널리 배포되기 때문이라고 강조했습니다.
“이러한 침해 전반에 걸쳐 동일한 흐름을 볼 수 있습니다. 공격자들은 보안 도구를 목표이자 전달 메커니즘으로 취급하고 있습니다. 공급망을 보호해야 할 제품을 공격한 뒤, 그 동일한 제품을 사용해 자격 증명을 탈취하고 다음 피해자로 이동하고 있습니다.”