상세 컨텐츠

본문 제목

SolarWinds 공격자들이 사용한 새로운 악성코드, 수 년 동안 탐지되지 않아

국내외 보안동향

by 알약4 2022. 2. 3. 14:00

본문

New Malware Used by SolarWinds Attackers Went Undetected for Years

 

SolarWinds의 공급망 해킹을 실행한 공격자가 최소 2019년 초부터 공격에 배포된 새로운 툴과 기술을 통해 악성코드 무기고를 계속 확장해온 것으로 나타났습니다. 이는 파악이 어려운 캠페인의 특성과 수 년간 지속적인 접근을 유지할 수 있었기 때문이었습니다.

 

지난 주, 사이버 보안 회사인 CrowdStrike는 노벨리움 해킹 그룹이 채택한 새로운 전술을 자세히 설명했습니다. 회사에 따르면 공격의 규모가 밝혀지기 훨씬 전부터 피해자의 시스템에 GoldMax Linux 변종과 새로운 임플란트인 TrailBlazer 를 포함한 두 가지 정교한 악성코드 패밀리가 설치되었습니다.

 

마이크로소프트는 2020 12 SolarWinds 침입에 대해 Nobelium이라 명명했으며, 다른 많은 사이버 보안 커뮤니티에서는 UNC2452(FireEye), SolarStorm(Unit 42), StellarParticle(Crowdstrike), Dark Halo(Volexity), Iron Ritual (Secureworks) 등과 같은 이름으로 이를 추적했습니다.

 

이 공격은 APT29(The Dukes, Cozy Bear)라는 러시아 정부의 후원을 받는 공격자의 작업인 것으로 나타났습니다. APT29는 최소 2008년부터 활동한 것으로 알려진 러시아 해외 정보국과 관련된 사이버 스파이 활동입니다.

 

2021 3 Microsoft FireEye에서 발견한 GoldMax(SUNSHUTTLE)는 명령 및 제어 백도어 역할을 하는 Golang 기반 악성코드로 원격 서버와 보안 연결을 설정하여 해킹된 시스템에서 임의 명령을 실행합니다.

 

2021 9, Kaspersky 2020 12월 및 2021 1월에 익명의 CIS 회원국 내 여러 정부 조직에 배포된 GoldMax 백도어의 두 번째 변종인 Tomiris에 대한 자세한 정보를 공개했습니다.

 

최신 버전은 2019년 중반 피해자 환경에 설치된 2단계 악성코드의 이전에 문서화되지 않았지만 기능은 동일한 Linux 구현으로, 현재까지 Windows 플랫폼용으로 빌드된 다른 모든 식별된 샘플보다 앞선 것입니다.

 

 

<이미지 출처 : https://www.crowdstrike.com/blog/observations-from-the-stellarparticle-campaign/>

 

 

또한 같은 기간에 제공된 모듈식 백도어인 TrailBlazer는 공격자에게 사이버 스파이 활동의 ​​경로를 제공하는 동시에 명령 및 제어(C2) 트래픽을 합법적인 Google 알림 HTTP 요청으로 위장했습니다. 이는 GoldMax와의 유사성을 보여줍니다.

 

공격자가 사용한 다른 특이한 채널은 아래와 같습니다.

 

- 측면 이동을 숨기기 위한 크리덴셜 호핑(Credential hopping)

- Office 365(O365) 서비스 사용자 및 응용 프로그램 하이재킹, 가장, 조작

- 다단계 인증을 우회하기 위한 브라우저 쿠키 탈취

 

또한 운영자는 여러 달 간격으로 도메인 크리덴셜을 여러 차례 훔쳤으며, 매번 다른 기술을 사용했습니다. 그 중 하나는 이미 해킹된 호스트에서 메모리 내 Mimikatz 스틸러를 통해 장기간 동안 접근할 수 있도록 보장하는 것이었습니다.

 

연구원들은 아래와 같이 결론지었습니다.

 

"Cozy Bear 공격자 그룹과 관련된 StellarParticle 캠페인은 공격자가 Windows, Linux OS, Microsoft Azure, O365, Active Directory에 대한 광범위한 지식을 가지고 있으며 몇 달, 몇 년 동안 탐지되지 않는 인내심, 그리고 은밀한 기술을 가지고 있다는 것을 보여줍니다.”

 

 

 

 

출처:

https://thehackernews.com/2022/02/new-malware-used-by-solarwinds.html

https://www.crowdstrike.com/blog/observations-from-the-stellarparticle-campaign/ (IOC)

관련글 더보기

댓글 영역