가상 디스크 마운트 프로그램인 데몬 툴즈(DAEMON Tools)의 공식 설치 파일이 악성 코드에 감염되는 공급망 공격이 한 달가량 탐지되지 않은 채 진행됐다고 러시아 보안 기업 카스퍼스키가 5월 5일 공개했다.

감염된 설치 파일은 4월 8일부터 데몬 툴즈 공식 홈페이지를 통해 배포됐으며, 피해는 100개국 이상에서 수천 건의 감염 시도로 이어졌다. 악성 코드는 데몬 툴즈 개발사인 AVB 디스크 소프트(AVB Disc Soft)의 유효한 디지털 서명이 첨부돼 보안 소프트웨어의 탐지를 피했으며, 감염된 버전은 12.5.0.2421부터 12.5.0.2434까지다. 감염 시스템이 부팅될 때마다 백도어가 자동 실행되어 외부 명령·제어(C2) 서버와 연결, 추가 악성 파일을 내려받는 방식으로 동작한다.

수천 건의 감염 시도 중 2차 악성 파일이 실제 설치된 경우는 러시아·벨라루스·태국의 정부기관, 과학 연구소, 제조업체, 유통업체 등 약 12대에 불과해 고가치 표적을 선별한 정밀 공격으로 분석된다. 악성 코드 내부에서 중국어 문자열이 발견돼 중국어권 공격자 소행으로 의심되나, 최종 귀속은 아직 확인되지 않았다.

카스퍼스키는 올해 들어 eScan(1월), 노트패드++(2월), CPU-Z(4월)에 이어 이번이 네 번째 공급망 공격 사례라고 밝혔으며, 데몬 툴즈 사용자는 즉시 프로그램을 삭제하고 4월 8일 이후의 시스템 이상 활동을 점검할 것을 권고했다.