상세 컨텐츠
본문
Microsoft reveals 3 new malware strains used by SolarWinds hackers
마이크로소프트가 SolarWinds 해커가 피해자의 네트워크에 2단계 페이로드로 배포한 새로운 악성코드를 발견해 공개했습니다.
회사는 SolarWinds 공급망 공격 중 Sunburst 백도어와 Teardrop 악성코드를 사용한 공격자를 ‘Nobelium’이라 명명했습니다.
마이크로소프트의 위협 인텔리전스 센터(MSTIC) 및 마이크로소프트 365 디펜더 연구팀의 보안 연구원들은 새로운 악성코드 변종 3가지를 발견해 GoldMax, Sibot, GoldFinder라 명명했습니다.
Nobelium 해커들은 2020년 8월 ~ 9월 사이에 후기 단계에서 이 악성코드 변종을 사용했습니다. Nobelium은 해킹된 SolarWinds 고객의 시스템에 적어도 2020년 6월에는 이 악성코드를 드롭한 것으로 추측됩니다.
“공격자는 새롭게 발견된 악성코드를 사용하여 지속성을 유지하고, 공격 후 구체적으로 표적화된 타깃 네트워크에서 작업을 수행하며 심지어 사고 대응 중 초기 탐지를 우회했습니다.”
“이들은 특정 네트워크마다 맞춤형으로 제작되었으며, 공격자가 훔친 자격 증명이나 SolarWinds 바이너리를 통해 접근 권한을 얻어 TEARDROP 및 기타 핸즈온 키보드 액션을 통해 측면 이동 후 사용될 것으로 추정됩니다.”
마이크로소프트에 따르면, 이 악성코드 변종은 아래 기능을 탑재하고 있습니다.
- GoldMax: 악성 행위를 숨기고 탐지를 피하기 위해 C2 백도어로 사용되는 Go 기반 악성코드입니다. 악성 네트워크 트래픽을 무해한 트래픽으로 위장하여 숨기기 위한 미끼 네트워크 트래픽 생성기 또한 포함하고 있습니다.
- Sibot: 2단계 스크립트를 사용한 지속성 유지, 추가 악성코드 페이로드 다운로드에 사용되는 VBScript 기반 악성코드입니다.
- GoldFinder: Go 기반 악성코드로 감염된 기기와 C2 서버 사이의 네트워크 보안 장치와 같은 서버 및 리디렉터를 탐지하기 위한 커스텀 HTTP 추적 툴로 사용됩니다.
3월 4일 오전, FireEye는 SolarWinds 해커가 공격한 조직의 서버에서 또 다른 2단계 백도어를 발견하여 공개했습니다.
FireEye의 연구원들은 이 새로운 악성코드를 Sunshuttle이라 명명했으며, 해당 악성코드가 SolarWinds 해커인 UNC2452(StellarParticle, SolarStorm, Dark Halo, Nobelium으로도 알려짐)과 관련이 있다고 추측했습니다.
마이크로소프트와 FireEye는 그들이 발견한 악성코드간의 관련성을 언급하지는 않았지만, Sunshuttle과 GoldMax는 동일한 C2 도메인을 사용하고, C2 트래픽을 숨기기 위해 사용하는 기능 또한 같아 동일한 악성코드인 것으로 추정됩니다.
또한 마이크로소프트는 지난 달 SolarWinds 해커들이 Axure, Intune, Exchange의 구성 요소에 대한 제한적인 소스코드를 다운로드했다고 밝혔습니다.
SolarWinds는 작년에 발생한 공급망 공격으로 인해 2020년 12월까지 약 350만 달러의 비용이 소요되었다고 밝혔습니다. 또한 다음 회계 기간에도 높은 비용이 추가로 청구될 것으로 예상됩니다.
현재 이스트시큐리티 알약(ALYac)에서는 해당 악성코드 샘플을 'Backdoor.Agent.Sunshuttle'로 탐지하고 있습니다.
출처:
'국내외 보안동향' 카테고리의 다른 글
| Sodinokibi 랜섬웨어 그룹, 피해자의 사업 파트너에게 전화하는 전략 추가해 (0) | 2021.03.08 |
|---|---|
| 디스코드 서버에 가입하는 피해자만 복호화하는 새로운 랜섬웨어 발견 (0) | 2021.03.08 |
| VMware, 심각한 View Planner RCE 취약점 수정 (0) | 2021.03.05 |
| 해커들, 탐지 피하기 위해 이미지 내부에 ObliqueRAT 페이로드 숨겨 (0) | 2021.03.04 |
| Ursnif 트로이목마, 이탈리아의 은행 100곳 이상 공격해 (0) | 2021.03.04 |
댓글 영역