Microsoft Artifact Signing 남용 통한 580개 위조 계정 및 인증서 무력화

Context

개발자가 소프트웨어 무결성을 증명하기 위해 사용하는 Microsoft Artifact Signing 서비스의 신원 검증 프로세스 취약점 발생. 이를 통해 공격자가 신뢰할 수 있는 인증서를 획득하여 멀웨어의 정당성을 위장하는 경로로 활용함.

Technical Solution

• 가짜 신원 및 조직 사칭을 통한 580개 이상의 Fraudulent Microsoft Account 생성
• 생성된 계정 기반으로 Artifact Signing 서비스에 접근하여 정식 Code-signing Credentials 탈취
• 탈취한 인증서를 Malware-signing-as-a-service 형태로 운영하며 Vanilla Tempest 등 Ransomware 그룹에 판매
• 가상 머신(VM) 기반의 Signing 환경을 제공하여 구매자가 직접 멀웨어를 서명하도록 유도하는 인프라 구축
• Bitcoin Wallet을 이용한 결제 시스템과 Google Form 기반의 서비스 요청 프로세스 운용
• Microsoft DCU의 Undercover Purchase를 통한 가상 머신 접근 경로 및 암호화폐 지갑 주소 식별

Impact

• 580개 이상의 위조 Microsoft 계정 생성 및 무력화
• 수천 대의 미국 내 고객 머신 감염 확인
• Microsoft 소유 및 운영 머신 12대 이상 피해 발생
• 인증서 판매 가격대 설정($5,000 ~ $9,500)을 통한 범죄 수익 구조 확인

Key Takeaway

신뢰 체인(Chain of Trust)의 최상단인 인증서 발급 단계에서 신원 검증(Identity Verification)이 실패할 경우, 하위 모든 보안 레이어가 무력화될 수 있다는 설계적 취약성 입증.