기업 보안업체 QiAnXin이 이달 중순 발표한 뉴스에 따르면 QiAnXin 위협 인텔리전스 센터는 일상 업무에서 비정상적인 동작을 발견했습니다. 복잡한 작업 후에 WindowsPackageManagerServer라는 프로세스가 마침내 Veiled LummaSealer를 시작했습니다.Qi Anxin은 이상 현상에 대한 조사를 실시한 후 근본 원인 중 하나가 실제로 Microsoft Store에서 나온 것임을 발견했습니다. 7-Zip의 러시아어 버전이 관련 바이러스를 운반했습니다.
7-Zip은 가장 잘 알려진 오픈 소스 압축 관리 소프트웨어 중 하나이지만 Microsoft Store에 공식적으로 출시되지 않았습니다. 따라서 해커가 직접 Microsoft Store에 7-Zip의 중독된 버전을 출시하고 Microsoft의 검토를 통과했습니다. 그러나 사용된 이름은 7z-Soft였습니다. 사용자가 7z 및 7-Zip과 같은 것을 검색하면 Microsoft Store에서 제공하는 결과는 모두 이 악성 버전입니다.
이 7-Zip의 중독 버전은 러시아어로 되어 있습니다. 이론적으로 주요 사용자는 중국 사용자가 아니지만, 많은 중국 사용자가 영향을 받을 것이라고는 예상하지 못했습니다. 왜? 7-Zip의 공식 홈페이지는 어느 정도 찾기 어렵기 때문에, 상위권에는 국내 기업들이 어느 정도 돈을 내고 찾아낸 온갖 종류의 '7-Zip Lifetime Edition'이 있다.
마이크로소프트의 브랜드 평판을 믿었기 때문에 일부 사용자들은 마이크로소프트 스토어를 통해 7-Zip을 검색해 포이즌 버전을 설치하기도 했다. 그러자 악성코드는 공격을 위해 복잡한 연산을 수행하기 시작했습니다.
Qi'anxin이 발표한 타임라인에 따르면 회사는 10월 27일에 변칙 사항을 발견하고 11월 3일에 Microsoft에 보고했습니다. Microsoft는 11월 중순에 바이러스에 감염된 버전을 선반에서 제거했습니다. 12월, Qi'anxin은 공개 보고서를 발표했습니다.
하지만 QiAnXin의 추적성 조사 결과 바이러스는 적어도 2023년 1월에 나타난 것으로 나타났습니다. QiAnXin 플랫폼에서 수집한 데이터에 따르면 사용자는 3월 17일부터 감염되기 시작했습니다. 그러나 Microsoft 스토어는 유통 채널일 뿐이며 해커는 토렌트 및 기타 채널을 통해서도 바이러스를 배포합니다.
또 다른 흥미로운 점은 해커가 일련의 도메인 이름을 뛰어넘어 마침내 잘 알려진 통신 소프트웨어인 Discord의 콘텐츠 배포 서버인 cdn.discordapp.com을 가리켰다는 것입니다. 즉, 해커는 Discord를 사용하여 바이러스를 호스팅했습니다.
Discord는 11월 6일에 다양한 유형의 악성 코드의 지속성 문제를 해결하기 위해 영구 파일 호스팅을 더 이상 지원하지 않을 것이라고 발표했습니다. 기본적으로 Qi'anxin이 바이러스를 발견한 시기와 시간이 겹쳤지만, Qi'anxin은 이를 Discord에 보고했는지 여부에 대해서는 언급하지 않았습니다. Bluedot은 Qi'anxin이 그랬다고 추정했습니다. 아마도 Discord의 영구 호스팅 폐쇄 결정도 Qi'anxin의 공지와 관련이 있을 것입니다. 결국 DiscordCDN에는 이전에도 많은 악성 코드가 있었고 Discord는 실제로 몇 가지 변경 사항을 적용해야 합니다.
바이러스의 행동에 관해서는 주목할만한 것이 없습니다. 해커들은 일련의 행위를 통해 결국 사용자들이 크로미움(Chromium), 파이어폭스(Firefox) 등 브라우저의 웹 푸시 알림 기능을 켜도록 유도한 뒤, 이를 이용해 각종 음란물 정보를 푸시해 트래픽을 유인했다.
Qi Anxin은 또한 8월에 7-Zip의 악성 버전의 다운로드 수가 크게 증가했다는 문제도 언급했습니다. 당시 WinRAR에는 고위험 취약점이 나타났습니다. 많은 회사와 기관에서 직원들에게 오픈 소스 7-Zip으로 전환하도록 요청했을 수 있습니다. 그러나 많은 사용자가 어느 시점에서 실제 7-Zip을 찾을 수 없어 Microsoft Store를 찾아 다운로드한 것으로 추정됩니다.