Sunburst 악성코드 DGA 해킹 후 SolarWinds 피해자들 밝혀져

 

 

SolarWinds victims revealed after cracking the Sunburst malware DGA

 

보안 연구원들이 현재 진행 중인 SolarWinds 공급망 공격을 조사한 후, 공격자가 Sunburst/Solarigate 악성코드를 배포한 조직 목록을 공개했습니다.

 

사이버 보안 회사인 Truesec이 공유한 이 목록 중 하나에는 Intel, Nvidia, Cisco, Cox Communications, Belkin과 같은 유명 기술 회사가 포함되어 있었습니다.

 

세계에서 두 번째로 큰 팹리스 반도체 제조사인 Mediatek도 이 캠페인의 타깃이 되었을 수 있지만, TrueSec은 아직까지 해킹 사건이 발생했는지 여부를 밝히지 않았습니다.

 

SolarWinds 피해자 목록을 수집한 방법

 

 

SolarWinds Orion IT 관리 플랫폼의 해킹된 업데이트 메커니즘을 통해 Sunburst 백도어에 감염된 피해자 목록을 작성하기 위해, 연구원들은 해킹된 각 기기용으로 동적으로 생성된 C2 서브 도메인 부분을 복호화 했습니다.

 

SunBurst 악성코드가 사용한 인코딩된 C2 서브도메인의 목록은 패시브 DNS(pDNS) 데이터세트와 백도어가 훔친 데이터를 추출해 내기 위해 연결한 메인 avsvmcloud[.]com 도메인을 가리키고 있는 웹 트래픽에서 수집되었습니다.

 

악성코드의 도메인 생성 알고리즘(DGA)를 통해 생성된 서브 도메인 목록을 복호화 함으로써 TrueSec과 QiAnXin RedDrip, Kaspersky, Prevasio는 이미 공격을 받았다고 공지했거나 곧 공지할 예정으로 추측되는 조직의 목록을 얻어낼 수 있었습니다.

 

 

<이미지 출처 : https://twitter.com/RedDrip7/status/1339168187619790848>

<복호화된 백도어 C2 서브도메인 URL>

 

SolarWinds 해커의 공격을 받은 조직

 

 

마이크로소프트는 그들의 고객 중 40곳이 SolarWinds 공급망 공격으로 인해 네트워크 해킹 사건이 일어났다는 것을 발견했습니다. 회사는 피해자에 이를 알렸지만, 신상을 공개하지는 않았습니다.

 

Redmond는 피해자 중 80%가 미국, 44%가 IT 부문이라 밝혔습니다.

 

FireEye, Microsoft, VMware 또한 SolarWinds 공급망 공격을 받았지만, FireEye만이 2단계 공격의 타깃이 되었고 네트워크의 정보를 도난당한 것으로 알려졌습니다.

 

SolarWinds는 이 공격에서 18,000명의 고객이 악성 Orion 업데이트를 설치되었다고 밝혔습니다. 하지만 이 공격을 주관한 공격자들은 (UNC2452 또는 Dark Halo로 명명됨) ‘가치가 높은’ 조직에만 추가적인 공격을 실행했습니다.

 

SolarWinds 공급망 공격을 받은 것으로 알려진 조직 목록에는 미국의 여러 주 및 정부 기관 또한 포함됩니다.

 

 

<이미지 출처 : Microsoft>

 

최종 결과

 

 

TrueSec의 복호화된 Sunburst C2 서브도메인의 광범위한 목록은 백도어에 감염되었을 뿐 아니라 추가적인 내부 해킹을 위해 개인을 공격해 공격자의 권한을 상승 시킨 것으로 추정되는 내부 조직의 이름을 포함하고 있었습니다.

 

TrueSec은 아래와 같이 밝혔습니다.

 

“해킹된 조직의 내부 도메인 명을 알아내기 위해 요청의 DGA 부분을 복호화했으며, 이를 공격자의 서버로부터 수신한 응답과 관련지어, 백도어 코드 내 하드코딩된 IP 범위 목록과 매핑시켰습니다.”

 

이로써 연구원들은 해킹된 조직 중 일부를 알아낼 수 있었으며, 공격자가 2단계 공격을 실행하기 위해 선별한 조직을 정확히 찾아내는 것이 가능했습니다.

 

“이 목록에는 내부 도메인 이름의 복호화된 값이 포함되어 있었습니다. 따라서 도메인 이름과 공개적으로 사용 가능한 정보를 기반으로 특정 조직에 속하는 것으로 추정할 수 있었습니다.”

 

SolarWinds 해커의 공격을 받은 일부 회사 중 내부 이름이 복호화된 곳의 목록은 여기에서 확인하실 수 있습니다. 디코딩된 내부 이름을 기반으로 작성되었기 때문에 조직 이름이 정확하지 않을 수 있습니다.

 

현재 이스트시큐리티 알약(ALYac)에서는 해당 악성코드 샘플을 'Trojan.MSIL.SunBurst'로 탐지 중입니다. 

 

 

 

  

 

출처:

https://www.bleepingcomputer.com/news/security/solarwinds-victims-revealed-after-cracking-the-sunburst-malware-dga/

https://blog.truesec.com/2020/12/17/the-solarwinds-orion-sunburst-supply-chain-attack/

https://securelist.com/sunburst-connecting-the-dots-in-the-dns-requests/99862/