고객센터

소프트웨어 울트라VNC 다운 - UltraVNC 공급망을 노린 공격이 최근 감지되었습니다. 맨디언트는 최근 DARKSIDE 제휴사(affiliate) 중 하나인 UNC2465가 합법적인 소프트웨어 공급망을 이용해 트로이 목마 설치를 유도하는 것을 관찰하였습니다. 맨디언트가 2020년 3월부터 활동한 것으로 추정하는 UNC2465는 CCTV 회사를 타깃으로 삼아 합법적인 소프트웨어 공급망을 이용한 트로이 목마 소프트웨어 배포를 하였습니다. 맨디언트는 CCTV 제조사의 홈페이지를 통해 합법적으로 다운로드할 수 있는 소프트웨어 중 2개가 트로이 목마를 담고 있는 것으로 보고 있으며 관련해 이 사실을 CCTV 업체에 알렸습니다. 아직 트로이 목마로 인한 랜섬웨어 피해 사례가 다수 있는 것으로 보이지는 않지만 합법적인 소프트웨어 공급망을 노리고 있어 이번 위협의 공격 방식과 방어에 대한 글을 공유합니다. DARKSIDE RaaS 운영자의 서비스 종료 발표 뒤에 숨겨진 사실 2021년 5월 중순 DARKSIDE RaaS(Ransomware as a Service) 운영자는 서비스 종료 게시물이 발표하였습니다. 이후 다크 웹 같은 지하 세계의 여러 포럼에서는 DARKSIDE 제휴사라고 주장하며 무료로 서비스를 한다는 글도 올라왔습니다. 이 밖에도 몇몇은 DARKSIDE RaaS 운영자의 서비스 인프라 폐쇄 결정이 사기일 수 있다고 보기도 합니다. DARKSIDE RaaS 운영자가 서비스를 재개했다는 증거는 아직 없지만 제휴사 중 일부는 아직 서비스를 제공하는 것으로 보입니다. ​한편, 맨디언트는 지난 5월 한 달 동안 랜섬웨어 피해자 수가 꾸준히 증가하고 있다는 것에 주목하고 있습니다. 최근 지하 세계의 포럼에서 랜섬웨어 관련 게시물이 올리는 것이 금지되었음에도 여전히 비공개 채팅 및 연결을 통해 랜섬웨어를 서비스하는 것으로 추정됩니다.배경2021년 6월 맨디언트는 한 침해 대응 사고에 조사를 위해 참여하였습니다. 분석 과정에서 맨디언트는 초기 벡터가 합법적인 웹 사이트에서 받은 보안 카메라 PVR 설치 프로그램이라고 판단했습니다. 이 프로그램 속에 트로이 목마가 숨어 들어왔다고 판단하였고, 배후로 DARKSIDE 제휴사인 UNC2465를 지목했습니다. ​맨디언트가 참여한 침해 조사 대상 조직의 한 사용자는 2021년 5월 18일 ZIP 파일을 울트라VNC 다운 - UltraVNC 다운로드했습니다. 소프트웨어를 설치하자마자 일련의 다운로드 및 스크립트가 실행되었고, 피해자 컴퓨터에는 SMOKEDHAM 백도어 및 NGROK이 설치되었습니다. 관찰에 따르면 BEACON 같은 추가 맬웨어 사용 및 측면 이동도 있었던 것으로 보입니다. 맨디언트는 트로이 목마화된 합법적인 소프트웨어가 2021년 5월 18일부터 2021년 6월 8일까지 사용 가능했던 것으로 보고 있습니다. ​이제 본격적으로 분석 내용을 살펴보겠습니다. VirusTotal에서 약간 수정되었지만 정상적인 MSHTA.exe 응용 프로그램을 중심으로 맨디언트는 MD5 해시 e9ed774517e129a170cdb856b13e8(SVStation_)이 포함된 두 번째 설치 관리자 패키지를 식별했습니다. 이는 트로이 목마화된 SmartPSS 인스톨러와 동일한 URL에 연결을 하였습니다.침입 사이클1단계: 트로이 목마 설치 프로그램 다운로드 맨디언트는 피해 조직이 이전에 사용한 윈도우 워크스테이션에 다운로드한 트로이 목마 설치 프로그램을 관찰하였습니다. 이 파일은 다음 위치에 압축이 풀렸습니다. ​C:\Users\[username]\Downloads\06212019-General-SMARTPSS-Win32-ChnEng-IS\General_SMARTPSS-Win32_ChnEng_IS_V2.002.0000007.0.R.181023\SMARTPSS-Win32_ChnEng_IS_V2.002.0000007.0.R.181023-General-v1.exe​맨디언트는 SmartPSS 소프트웨어를 다운로드해 설치하고 사용하려믄 사용자를 확인했습니다. 다음 화면은 SmartPSS 소프트웨어 다운로드 페이지입니다. SmartPSS 다운로드 페이지2단계: Nullsoft 설치 프로그램설치 프로그램 실행 파일은 실행 시 C:\ProgramData\SMARTPSS-Win32_ChnEng_IS에 두 개의 파일을 기록한 Nullsoft 설치 프로그램입니다. 맨디언트는 분석을 위해 7-Zip을 사용해 악성 설치 프로그램 스크립트와 파일을 추출하였습니다. Nullsoft 설치 프로그램 스크립트 섹션설치 스크립트는 SMARTPSS-Win32_ChnEng_IS_V2.002.0000007.0.R.181023-General.exe (b540b8a341c20dced4bad4e568b4cbf9) 및 smartpss.exe (c180f493ce2e609c92f4a66de9f02ed6) 두 파일을 생성했습니다. 전자는 원래 개발자가 만든 깨끗한 설치 프로그램입니다. 후자는 컨텐츠를 실행하는 명령 줄 URL로 시작됩니다. ​smartpss.exe 파일에는 합법적인 운영체제 구성 요소인 마이크로소프트의 MSHTA.exe로 자신을 설명하는 메타 데이터가 포함되어 있지만 MD5 해시는 알려지지 않았습니다. 디스 어셈블리 분석을 해보니 IECOM 객체를 로드하고 실행 기능을 시작한 작은 애플리케이션인 것으로 나타났습니다. 제공된 명령 줄 인수에 대한 HTML Application()입니다. 이 기능은 해시가 일치하지 않음에도 합법적인 MSHTA.exe의 동작과 일치했습니다. 추가 분석 결과, 멀웨어는 다음 그림과 같이 6바이트의 데이터만 추가된 바이너리의 2018 버전(원래 해시: 5ced5b469724d9992f5e8117ecf5)을 기반으로 하는 것으로 나타났습니다.MSHTA.exe와 smartpss.exe 간의 CyberChef 차이3단계: 다운로드 한 울트라VNC 다운 - UltraVNC VBScript와 PowerShell 실행 시 수정된 Mshta 파일이 hxxp://sdoc[.]xyz/ID-5 주소로 실행되고 명령 줄 아 인수로 전달되었습니다. sdoc [.] xyz 도메인은 맨디언트가 이전에 RiskIQ를 통해 공개한 관련 인텔리전스 내용과 관련이 있습니다. 이 내용에 따르면 sdoc [.] xyz는 koliz [.] xyz와 등록자를 공유하며, 이는 맨디언트가 과거 UNC2465 침입에서 관찰한 것이기도 합니다.수정된 Mshta 파일을 실행하면 임시 INetCache 디렉토리에 기록된 oubSi78Vgb9 [1] .htm이라는 HTM 파일이 생성되었습니다. 맨디언트는 작성 당시 이 파일을 획득할 수 없었습니다. 그러나 다행히 파일의 일부 내용을 복구할 수 있었습니다. 작성 당시에는 sdoc [.] xyz가 활성화된 것처럼 보였지만 VBScript 코드를 반환하지 않았습니다. sdoc [.] xyz가 IP 또는 기타 속성을 기반으로 피해자를 선택했는지 아니면 단순히 휴면 상태인지는 확실하지 않습니다. 2021년 5월 26일 VirusTotal에서 실행한 샌드박스 PCAP에서도 무해한 콘텐츠가 제공되는 것으로 나타났습니다.e9ed774517e129a170cdb856bd13e7e8 VirusTotal의 PCAP 결과 악성 컨텐츠를 반환하지 않음다운로드 후 다음과 같이 SMOKEDHAM을 다운로드하기 위해 PowerShell 스크립트 블록이 실행되었습니다.MOKEDHAM 다운로더그리고 몇 초 만에 qnxfhfim.cmdline이라는 파일이 디스크에 기록되고 명령 줄 컴파일러를 사용하여 실행되었습니다.맨디언트는 보고서 작성 시점에 이 파일을 복구할 수 없었지만 파일 일부 내용은 복구할 수 있었습니다. qnxfhfim.cmdline을 실행한 후 PowerShell은 SMOKEDHAM에서 사용하는 프런트 도메인 lumiahelptipsmscdnqa [.] microsoft [.] com에 대한 첫 번째 연결을 시작했습니다.4단계: SMOKEDHAM Dropper파워쉘로 작성된 SMOKEDHAM 드롭퍼(f075c2894ac84df4805e8ccf6491a4f4)는 백도어를 메모리에서 해독하고 실행합니다. 드롭퍼는 Add-Type cmdlet을 사용해 백도어에 새 .NET 클래스를 정의합니다. Add-Type cmdlet은 기존 어셈블리 또는 소스 코드 파일을 사용하거나 소프 코드로 인라인으로 지정하거나 변수에 저장하여 새 .NET 클래스 정의하는 데 사용할 수 있습니다. 이 경우 드롭퍼는 변수에 저장된 SMOKEDHAM 백도어 소스 코드를 사용합니다. SMOKEDHAM 소스 코드는 암호화된 문자열을 포함합니다. 드롭퍼는 Add-Type cmdlet을 실행하기 전에 ConvertTo-SecureString cmdlet 및 포함된 키를 사용해 울트라VNC 다운 - UltraVNC 소소 코드를 해독합니다. 백도어에 대한 새 .NET 클래스를 정의한 후 드롭퍼는 백도어의 진입점을 실행합니다. 드롭퍼는 C2 서버 주소, RC4 암호화 키 및 슬립 인터벌로 백도어를 구성합니다. SMOKEDHAM dropper5단계: SMOKEDHAM 백도어SMOKEDHAM (127bf1d43313736c52172f8dc6513f56)는 화면 캡처 및 키 입력 캡처를 포함한 명령을 지원하는 .NET 기반 백도어입니다. 이 백도어는 C2 서버에서 추가 파워쉘 명령을 다운로드하고 실행할 수도 있습니다. ​SMOKEDHAM 네트워크 커뮤니케이션 SMOKEDHAM은 HTTPS를 사용하여 C2 서버와 통신합니다. 백도어는 도메인 프론팅을 사용하여 C2 서버를 난독화합니다. 프런트 도메인은 초기 실행 단계에서 구성되며 실제 도메인은 백도어에서 하드코딩됩니다. 맨디언트는 C2 서버 통신에 사용하는 프런트 도메인 lumiahelptipsmscdnqa.microsoft [.] com과 하드코딩된 도메인 max-ghoster1.azureedge [.] net을 관찰했습니다.​SMOKEDHAM과 C2 서버 간 통신은 HTTP POST 요청을 통해 교환되는 JSON 데이터로 구성됩니다. 백도어는 C2 서버에 대한 요청을 시작하고 C2 서버는 응답에 실행할 명령을 포함할 수 있습니다. SMOKEDHAM과 C2 서벅 간 교환되는 JSON 데이터는 ID, UUID, Data 세 가지 필드가 있습니다.​ID 필드에는 대상 시스템 대해 백도어에서 생성한 고유 값이 포함됩니다. UUID 필드는 명령 출력을 추적하는 데 사용되는 고유한 값을 포함하거나 비어 있을 수 있습니다. C2 서버가 실행 명령으로 응답하면 UUID 필드를 고유 한 값으로 설정합니다. 그런 다음 SMOKEDHAM은 명령 출력을 포함하는 후속 HTTP POST 요청에서 동일한 UUID 값을 설정합니다. 데이터 필드는 RC4로 암호화된 Base64로 인코딩 된 명령 데이터를 포함하거나 비어있을 수 있습니다. 백도어는 데이터 필드를 사용하여 명령 출력을 C2 서버로 보냅니다. C2 서버는 데이터 필드를 사용하여 실행할 명령을 백도어로 보냅니다. 백도어는 이전 실행 단계에서 구성된 RC4 키를 사용하여 데이터 필드를 암호화하고 해독합니다. Mandiant 는 RC4 암호화 및 복호화에 사용되는 RC4 키 UwOdHsFXjdCOIrjTCfnblwEZ를 관찰했습니다. ​SMOKEDHAM 명령 SMOKEDHAM Base64 디코딩 및 RC4는 데이터 필드에 울트라VNC 다운 - UltraVNC 반환된 명령 데이터를 해독합니다. 백도어는 일반 텍스트 명령 데이터가 다음 표에 포함된 키워드 중 하나로 시작하는지 확인합니다. Keyword Action delay sleep 간격 업데이트 screenshot 스크린 캡처를 C2 서버에 업로드 exit종료 일반 텍스트 명령 데이터가 위 표에 있는 키워드로 시작하지 않을 경우 SMOKEDHAM은 데이터에 파워쉘 명령이 포함되어 있다고 가졍하고 실행을 시도합니다. 백도어는 후속 후속 HTTP POST 요청을 통해 PowerShell 명령으로 생성된 출력을 C2 서버에 업로드합니다. ​SMOKEDHAM 실행 SMOKEDHAM은 파워쉘을 사용해 대상 시스템에서 명령을 실행하는 것으로 관찰되었습니다. 다음 명령은 시스템 및 로그인한 사용자에 대한 정보를 수집하는 데 사용된 것입니다. 다음 명령으로 공격자는 DefaultUser 계정을 만들고 로컬 관리자 그룹에 추가한 다음 윈도우 로그온 화면에서 계정을 숨깁니다. 다음 명령으로 공격자는 여러 원격 데스크톱 연결 세션을 사용하도록 터미널 서버 레지스트리 키값을 수정하고 인증을 위해 암호를 요구하도록 LSA 레지스트리 키값을 수정하여 측면 이동을 용이하게 했습니다. 또한, SMOKEDHAM은 자격 증명 캐싱을 사용하도록 WDigest 레지스트리 키값 HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ WDigest \ UseLogonCredential을 수정했습니다.6단계: 후속 활동 SMOKEDHAM은 파워쉘을 사용해 타사 파일 공유 사이트에 연결해 winvnc.exe로 이름이 변경된 UltraVNC 응용 프로그램과 UltraVNC.ini라는 구성 파일을 다운로드했습니다. 이는 %APPDATA%\Chrome\ 디렉토리에 저장되었습니다. UltraVNC.ini 파일을 사용하면 UltraVNC가 AllowLoopback ϑ 매개 변수로 지정된 루프백 주소의 포트 6300에 연결할 수 있습니다.UltraVNC.ini의 내용SMOKEDHAM은 UltraVNC를 사용해 과거 UNC2465 침입에서 관찰된 IPT 주소 및 포트에 대한 연결을 설정하는 것으로 관찰되었습니다. SMOKEDHAM은 현재 사용자 Run 레지스트리 키 아래의 ChonhostNT 값에 응용 프로그램을 추가하여 UltraVNC에 대한 지속성 메커니즘을 만들었습니다. NGROK 구성 SMOKEDHAM은 파워쉘을 사용해 타사 파일 공유 사이트에 연결해 conhost.exe로 이름이 변경된 NGROK 유틸리티와 ngrok.yml이라는 구성 파일로 NGROK를 실행하는 데 사용된 울트라VNC 다운 - UltraVNC VirtualHost.vbs라는 스크립트를 다운로드했습니다. 이러한 파일은 C : \ ProgramData \ WindNT \ 디렉터리에 저장되었습니다. NGROK는 NAT 및 방화벽 뒤의 로컬 서버를 보안 터널을 통해 공용 인터넷에 노출할 수 있는 공개적으로 사용 가능한 유틸리티입니다.VirtualHost.vbs의 내용ngrok.yml의 내용​VirtualHost.vbs를 실행하면 NGROK가 NGROK 터널을 통해 TCP 포트 6300에서 트래픽을 수신하고 전달할 수 있었으며, 이후 NGROK가 UltraVNC 트래픽을 환경 외부로 터널링 할 수 있습니다. SMOKEDHAM은 현재 사용자 Run 레지스트리 키 아래의 WindNT 값에 VirtualHost.vbs를 추가하여 NGROK에 대한 지속성 메커니즘을 만들었습니다.Keylogger 배포 공격자는 C : \ ProgramData \ psh \ console.exe라는 추가 키 로깅 유틸리티를 사용했습니다. keylogging 유틸리티는 C : \ ProgramData \ psh \ System32Log.txt에 키 입력을 캡처하고 기록하도록 구성되었습니다. 맨디언트는 공격자가 UltraVNC를 사용하여 키 로깅 유틸리티를 참조하는 두 개의 LNK 파일을 다운로드하는 것을 관찰했습니다. 다운로드 한 파일의 이름은 각각 desktop.lnk 및 console.lnk이며 다음 지속성 위치에 배치되었습니다.​Cobalt Strike Beacon공격자는 UltraVNC를 사용하여 Cobalt Strike 용인 메모리 드로퍼를 C : \ ProgramData \ Cisco Systems \ Cisco Jabber \ update.exe에 다운로드했습니다. Update.exe는 ScareCrow 프레임 워크를 사용하여 만든 Go 기반 dropper입니다 . 공격자는 명령 프롬프트를 사용하여 C : \ ProgramData \ Cisco Systems \ Cisco Jabber \ update.exe를 실행했습니다.ScareCrow 프레임워크 드로퍼 C : \ ProgramData \ Cisco Systems \ Cisco Jabber \ update.exe를 실행하면 Cobalt Strike 무단계 페이로드가 C : \ ProgramData \ Cisco \ update.exe에 생성되어 Cobalt에 대한 연결이 설정되었습니다. 맨디언트는 UltraVNC를 사용하여 공격자가 % APPDATA % \ Microsoft \ Windows \ Start Menu \ Programs \ Startup \ 디렉토리에 update.lnk라는 파일을 다운로드하고 저장하는 것을 관찰했습니다. 맨디언트는 작성 당시 update.lnk를 복구할 수 없었지만 이 파일은 울트라VNC 다운 - UltraVNC Cobalt Strike 무단계 페이로드에 지속성을 추가하기 위해 생성된 것으로 의심됩니다.​LSASS 덤핑 및 측면 이동 맨디언트는 이 공격자가 작업 관리자를 사용하여 LSASS 프로세스를 lsass.DMP라는 파일에 덤프 한 다음 나중에 C : \ ProgramData \ psh \ 디렉토리에 있는 lsass.zip 및 lsass2.zip이라는 파일로 덤프를 압축하는 것을 관찰했습니다. 이 시점에서 공격자는 RDP (원격 데스크톱 프로토콜) 연결을 사용하여 환경의 다른 시스템으로 측면으로 이동하는 것이 관찰되었습니다.결론 많은 조직은 합법적인 소프트웨어 공급망을 이용한 공격에 경각심을 보이고 있습니다. 하지만 여전히 엔드포인트를 통해 들어오는 정교한 공격에는 취약점을 드러내고 있습니다. UNC2465와 같이 변화하는 보안 트렌드에 맞춰 정교한 공격을 감행할 경우 랜섬웨어 같은 강력한 공격에 큰 피해를 입을 수 있습니다. 따라서 합법적인 소프트웨어 공금방을 이용하는 경우까지 대비할 수 있는 탐지와 대응 체계 마련이 필요합니다. 침해 지표 Supply Chain/Trojanized Nullsoft Installer/SmartPSSMD5: 1430291f2db13c3d94181ada91681408Filename: SMARTPSS-Win32_ChnEng_IS_V2.002.0000007.0.R.181023-General-v1.exeZip MD5: 54e0a0d398314f330dfab6cd55d95f38Supply Chain/Trojanized Nullsoft Installer/SVStationMD5: e9ed774517e129a170cdb856bd13e7e8Filename: SVStation_Win64-B1130.1.0.0.exeIntermediate StageURL: hxxp://sdoc[.]xyz/ID-5IP: 185.92.151[.]150SMOKEDHAM LOADERMD5: f075c2894ac84df4805e8ccf6491a4f4 (Gbdh7yghJgbj3bb.html)MD5: 05d38c7e957092f7d0ebfc7bf1eb5365SMOKEDHAMMD5: 127bf1d43313736c52172f8dc6513f56 (in-memory from f075c2894ac84df4805e8ccf6491a4f4)Host: max-ghoster1.azureedge[.]net (actual C2)MD5: 9de326bf37270776b78e30d442bda48b (MEtNOcyfkXWe.html)Host: atlant20.azureedge[.]net (actual C2) MD5: b06319542cab55346776f0358a61b3b3 (in-memory from 05d38c7e957092f7d0ebfc7bf1eb5365)Host: skolibri13.azureedge[.]net (actual C2)NGROKMD5: e3bc4dd84f7a24f24d790cc289e0a10f (legitimate NGROK renamed to conhost.exe)MD5: 84ed6012ec62b0bddcd18058a8ff7ddd (VirtualHost.vbs)UltraVNCIP/Port: 81.91.177[.]54:7234 (using legitimate ULTRAVNC 23b89bf2c2b99fbc1e232b4f86af65f4)BEACONHost: w2doger[.]xyzIP: 185.231.68.102MD5: a9fa3eba3f644ba352462b904dfbcc1a (shellcode)탐지 기술 PlatformDetection NameFireEye Network SecurityFireEye Email SecurityFireEye Detection On DemandFireEye Malware AnalysisFireEye Malware File Protect• Backdoor.BEACON• FE_Loader_Win32_BLUESPINE_1• Trojan.Win32.CobaltStrike• Backdoor.MSIL.SMOKEDHAM• Malware.Binary.ps1• FEC_Backdoor_CS_SMOKEDHAM_1• Suspicious Process PowerShell ActivityFireEye Endpoint SecurityReal-Time Detection (IOC)• WDIGEST CREDENTIAL EXPOSURE (METHODOLOGY)• WDIGEST CREDENTIAL EXPOSURE VIA REGISTRY (METHODOLOGY)• SUSPICIOUS CONHOST.EXE A (METHODOLOGY) • TASKMGR PROCESS DUMP OF LSASS.EXE A (METHODOLOGY)Malware Protection (AV/MG)• Trojan.GenericFCA.Script.533 • Trojan.GenericFCA.Agent.7732• Dropped:Trojan.VBS.VGU• Trojan.CobaltStrike.FM• NGRok• Ultra VNC• SVN Station• Generic.mg.a9fa3eba3f644ba3• Generic.mg.1626373508569884Modules• Process Guard (LSASS memory protection)FireEye Helix• VNC METHODOLOGY [Procs] 울트라VNC 다운 - UltraVNC (T1021.005)• WINDOWS ANALYTICS [Abnormal RDP Logon] (T1078)• WINDOWS ANALYTICS [Recon Commands] (T1204)• WINDOWS METHODOLOGY [Cleartext Credentials Enabled - UseLogonCredential] (T1003.001)• WINDOWS METHODOLOGY [LSASS Generic Dump Activity] (T1003.001)• WINDOWS METHODOLOGY [LSASS Memory Access] (T1003.001)• WINDOWS METHODOLOGY [Registry Run Key - reg.exe] (T1547.001)• WINDOWS METHODOLOGY [User Created - Net Command] (T1136.001)Yara 탐지 룰 ​MITRE ATT&CK UNC2465TacticDescriptionInitial AccessT1189: Drive-by Compromise T1195.002: Compromise Software Supply Chain T1566: PhishingExecutionT1053.005: Scheduled Task T1059.001: PowerShell T1059.005: Visual BasicPersistenceT1098: Account Manipulation T1136: Create Account T1547.001: Registry Run Keys / Startup Folder T1547.004: Winlogon Helper DLL T1547.009: Shortcut ModificationDefense EvasionT1027: Obfuscated Files or Information T1070.006: Timestomp T1112: Modify Registry T1140: Deobfuscate/Decode Files or Information T1218.005: Mshta T1553.002: Code Signing T1562.004: Disable or Modify System FirewallDiscoveryT1012: Query Registry T1033: System Owner/User Discovery T1082: System Information DiscoveryCollectionT1056.001: Keylogging T1113: Screen Capture T1560: Archive Collected DataImpactT1486: Data Encrypted for Impact T1531: Account Access RemovalCommand and ControlT1071.001: Web Protocols T1090.004: Domain Fronting T1102: Web Service T1105: Ingress Tool Transfer T1219: Remote Access Software T1572: Protocol Tunneling T1573.002: Asymmetric CryptographyLateral MovementT1021.004: SSH T1021.005: VNCCredential AccessT1003.001: LSASS MemoryResource DevelopmentT1588.003: Code Signing Certificates T1588.004: Digital Certificates T1608.003: Install Digital Certificate#DARKSIDE #UNC2465 #소프트웨어_공급망_보안 #소프트웨어_공급망_위협 #CCTV #트로이목마 #SMOKEDHAM #NGROK