상세 컨텐츠

본문 제목

SolarWinds 해커가 개발한 것으로 추측되는 Tomiris 백도어 발견

국내외 보안동향

by 알약4 2021. 9. 30. 09:00

본문

 

 

 

New Tomiris backdoor likely developed by SolarWinds hackers

 

Kaspersky의 보안 연구원들이 지난해 발생한 SolarWinds 공급망 공격의 배후에 있는 Nobelium 해킹 그룹이 개발했을 가능성이 있는 새로운 백도어를 발견했습니다.

 

Tomiris라는 이 새로운 악성코드는 지난 6월 처음 발견되었습니다. 하지만 첫번째 샘플은 FireEye Sunshuttle을 발견하고 배후로 Nobelium을 지목하기 한 달 전인 20212월 실제 공격을 통해 배포되었습니다.

 

Tomiris 2020 12월부터 2021 1월 사이에 CIS 회원국의 여러 정부를 노린 일련의 DNS 하이재킹 공격을 조사하던 중 발견되었습니다.

 

피해자는 공격자가 이메일 자격 증명을 훔칠 목적으로 생성한 웹 메일 로그인 페이지로 이동되었으며, 경우에 따라 이전에 알려지지 않은 Tomiris 백도어를 다운로드하는 악성 소프트웨어 업데이트를 설치하도록 유도했습니다.

 

Kaspersky는 이와 관련해 아래와 같이 밝혔습니다.

 

"이 기간 동안, 위 영역에 대한 권한 DNS 서버가 공격자가 제어하는 ​​리졸버로 전환되었습니다. 이러한 하이재킹은 대부분 비교적 짧았으며 주로 영향을 받는 조직의 메일 서버를 노린 것으로 보입니다. 공격자가 어떻게 이 공격을 성공시킬 수 있었는지는 알 수 없지만, 피해자가 사용하는 등록 기관의 제어판에 대한 자격 증명을 획득한 것으로 추정했습니다.”

 

 

<이미지 출처 : https://securelist.com/darkhalo-after-solarwinds-the-tomiris-connection/104311/>

 

 

Nobelium이 만든 Sunshuttle 악성코드와의 연결점

 

Tomiris는 시스템에 배포된 후 해킹된 기기에서 실행할 추가 악성 페이로드에 대한 C&C 서버에 반복적으로 쿼리하여 운영자가 피해자의 네트워크에 발판을 마련할 수 있도록 합니다.

 

또 다른 변종은 감염된 시스템에서 문서를 수집 및 추출해 .doc, .docx, .pdf, .rar 등 관심있는 확장자를 가진 최근 파일을 자동으로 업로드할 수 있습니다.

 

Kaspersky는 Tomiris와 Sunshuttle 사이에서 많은 유사점을 발견했습니다. 두 백도어 모두 Go로 개발되었고, 예약된 작업을 통한 지속성 확보, 동일한 C2 통신 인코딩 체계, 네트워크 노이즈를 줄이기 위한 자동화된 절전 트리거와 같은 기능을 사용하고 있었습니다.

 

또한 이들은 Tomiris와 동일한 네트워크에서 SolarWinds 공격에 사용된 Sunburst 악성코드와 기능을 공유하는 Kazuar 백도어를 발견했습니다.

 

하지만 연구원들은 새로운 백도어가 러시아가 지원하는 Nobelium 정부 해커와 연결시키지는 않았습니다. 악성코드 연구원을 오해하도록 설계된 거짓 플래그 공격의 가능성이 있기 때문입니다.

 

 

<이미지 출처 : https://securelist.com/darkhalo-after-solarwinds-the-tomiris-connection/104311/>

 

 

현재 이스트시큐리티 알약(ALYac)에서는 해당 악성코드 샘플을 'Trojan.GenericKD.36974967', 'Gen:Variant.Bulz.491799', 'Trojan.Ransom.BadRabbit'으로 탐지 중입니다. 

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/new-tomiris-backdoor-likely-developed-by-solarwinds-hackers/

https://securelist.com/darkhalo-after-solarwinds-the-tomiris-connection/104311/

관련글 더보기

댓글 영역