- 다중 감염 체인 활용한 공급망 공격 정황 확인

- 기존 IoC 점검만으로는 탐지 한계

 

카스퍼스키가 노트패드++(N

otepad++) 공급망 공격을 분석한 결과, 배후 공격자들이 필리핀 정부 기관과 엘살바도르 금융 기관, 베트남 IT 서비스 제공업체, 그리고 여러 국가의 개인 사용자를 표적으로 삼아 다단계 공격을 수행한 사실을 확인했다. 이번 분석은 카스퍼스키 글로벌 연구 분석팀 GReAT(Global Research and Analysis Team)가 수행했다.

 

조사 결과 공격자들은 최소 세 개의 서로 다른 감염 체인을 활용했으며, 이 가운데 두 개는 아직 공개적으로 알려지지 않은 상태다. 기존에 보고된 단일 공격 사례는 전체 공격 시나리오의 일부에 불과했던 것으로 나타났다.

 

7월부터 10월까지 인프라 전면 교체…장기 공격 캠페인 정황

공격자들은 2025년 7월부터 10월 사이 약 한 달 주기로 악성코드, 명령·제어(C2) 인프라, 전달 방식을 반복적으로 교체했다. 이로 인해 특정 시점에 관찰된 침해 지표만으로는 공격 전반을 식별하기 어려운 구조가 형성됐다.

 

노트패드++ 개발진은 2026년 2월 2일, 호스팅 제공업체 사고로 업데이트 인프라가 침해됐다고 공개했다. 그러나 기존 공개 보고는 2025년 10월에 확인된 악성코드에만 초점을 맞추고 있어, 7월부터 9월까지 사용된 완전히 다른 침해 지표는 충분히 알려지지 않은 상태였다.

 

공격 체인별 IoC 완전 분리…이전 감염 놓쳤을 가능성

각 공격 체인은 서로 다른 악성 IP 주소와 도메인, 실행 방식, 페이로드를 사용했다. 이에 따라 10월에 공개된 IoC만을 기준으로 점검한 조직은 이전 단계의 감염을 식별하지 못했을 가능성이 있다. 카스퍼스키는 Kaspersky Next 등 자사 보안 솔루션이 공격자들이 사용한 다양한 악성코드를 탐지할 수 있다고 설명했다.

 

추가 공격 체인 존재 가능성 경고

카스퍼스키 GReAT 조지 쿠체린 선임 보안 연구원은 공개된 IoC 기준 점검만으로 안전을 판단해서는 안 된다고 언급하며, 7월부터 9월까지 사용된 인프라가 IP와 도메인, 파일 해시 모두에서 완전히 달랐다고 설명했다. 공격 도구 교체 주기를 고려할 때 아직 발견되지 않은 추가 공격 체인이 존재할 가능성도 배제할 수 없다고 분석했다.

 

카스퍼스키 이효은 한국지사장은 노트패드++ 공급망 공격 사례가 공격자 전술의 빠른 진화를 보여준다고 설명하며, 알려진 공격 지표에만 의존한 조사는 위험을 놓칠 수 있다고 밝혔다. 이어 Kaspersky Next와 같은 보안 솔루션이 다양한 유형의 악성코드를 포괄적으로 탐지해 복잡해지는 사이버 위협 환경에 대응할 수 있다고 전했다.

 

카스퍼스키 GReAT는 이번 분석을 통해 기존에 보고되지 않았던 6개의 악성 업데이트 해시와 14개의 C2 URL, 8개의 악성 파일 해시를 포함한 전체 침해 지표 목록을 공개했다.

 

#카스퍼스키 #노트패드플러스플러스 #공급망공격 #사이버보안 #멀웨어 #APT #GReAT #KasperskyNext