중국 APT, 노트패드++ 공급망 공격으로 표적 공격 수행

중국 APT, 노트패드++ 공급망 공격으로 표적 공격 수행

중국 국가 지원 위협 행위자(APT)가 인기 텍스트 에디터 노트패드++의 업데이트 인프라를 침해하는 정교한 공급망 공격을 감행해, 선별된 표적에게 트로이 목마화된 버전을 배포했습니다. 이 침해는 약 6개월간 지속되었으며, 공격자들은 초기 대응 시도 후에도 내부 서비스에 3개월 더 접근 권한을 유지했습니다.

기술적 세부 사항

이 공격은 노트패드++ 구버전의 취약한 업데이트 검증 제어를 악용했습니다. 사고 대응팀에 따르면:

• 이름 미공개 호스팅 제공업체의 인프라는 2025년 9월 2일까지 침해 상태였음
• 공격자들은 2025년 12월 2일까지 내부 서비스 접근 자격을 보유해 업데이트 트래픽을 악성 서버로 리다이렉션 가능했음
• 취약점 패치 후에도 재공격 시도 흔적이 이벤트 로그에 남아 있음
• 위협 행위자는 레거시 업데이트 검증 메커니즘을 우회하기 위해 노트패드++ 도메인을 특별히 표적으로 삼음

노트패드++ 관계자는 8.9.1 이전 버전만이 이 공급망 공격에 취약하다고 확인했으며, 총 피해 사용자 수는 공개하지 않았지만 공격이 "고도로 표적화"된 것이라고 강조했습니다.

영향 분석

이 사건은 APT(지능형 지속 위협)에 의한 공급망 공격의 고도화된 수법을 보여줍니다. 주요 위험 요소는 다음과 같습니다:

• 선별적 표적화: 공격자들이 특정 조직이나 개인에게만 악성코드를 배포하면서 다른 사용자에게는 정상 업데이트를 제공할 수 있음
• 장기 지속성: 6개월간의 침해 기간 동안 광범위한 정찰 및 페이로드 배포가 가능했음
• 업데이트 하이재킹: 초기 대응 후에도 업데이트 트래픽 리다이렉션이 가능했던 점은 소프트웨어 배포 채널 보안의 어려움을 보여줌

권고 사항

보안팀은 다음 조치를 취해야 합니다:

1. 모든 노트패드++ 설치 버전을 8.9.1 이상으로 즉시 확인 및 업데이트
2. 특히 구버전을 사용하는 시스템에서 침해 징후를 감사
3. 다른 중요 소프트웨어의 업데이트 메커니즘 검토 및 유사한 검증 취약점 식별
4. 이상한 업데이트 동작 모니터링 (예: 예상치 못한 리다이렉션이나 인증서 변경)
5. 소프트웨어 업데이트에 대한 코드 서명 검증을 심층 방어 조치로 구현

노트패드++ 팀은 구체적인 침해 지표(IOC)를 공개하지 않았지만, 예상치 못한 업데이트 동작은 모두 잠재적 악성 행위로 간주할 것을 권고했습니다.