Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향SolarWinds 공격을 조사하는 동안 발견된 새로운 Sunspot 맬웨어
작성일 2021-01-14 조회 100

SolarWinds 해킹 조사 중 발견 된 새로운 Sunspot 악성 코드

 

 

사이버 보안 회사인 CrowdStrike는 공급망 공격 중 SolarWinds 공격자들이 Orion 플랫폼 구축 과정에서 백도어를 주입하는 데 사용한 맬웨어를 발견해 여러 회사와 정부 기관과 타협했다.

 

Sunspot은 SolarWinds의 Orion IT 관리 소프트웨어의 개발 환경에서 공격자들에 의해 삭제되었다.

 

실행 후 맬웨어는 회사의 합법적인 소스 코드를 악성 코드로 대체하여 Sunburst 백도어를 모니터링하고 자동으로 주입한다.

 

CrowdStrike는 "SUNSPORT의 디자인은 StellarParticle 개발자들이 코드가 제대로 삽입되고 감지되지 않도록 하기 위해 많은 노력을 기울였고, 빌드 환경에서 SolarWinds 개발자들에게 자신의 존재를 드러내지 않도록 운영 보안을 우선시했다."라고 밝혔다.

 

"매우 정교하고 새로운 코드는 소프트웨어 개발 및 팀 구축에 의심을 사지 않고 Sunburst 맬웨어를 SolarWinds Orion 플랫폼에 주입하도록 설계되었다."라고 SolarWinds의 CEO Sudakar Ramakrishna는 덧붙였다.

 

 

SolarWinds 해커와 연결된 세 번째 맬웨어

 

이것은 SolarWinds 공급망 공격을 조사하는 동안 발견된 세 번째 맬웨어 변종이며, StellarParticle(CrowdStrike), UNC2452(FireEye), Dark Halo(Volexity)로 추적된 위협 행위자와 관련이 있다.

 

두 번째 방법은 SolarWinds 해커가 플랫폼의 내장된 자동 업데이트 메커니즘을 통해 트로이 목마화된 Orion 빌드를 설치한 조직 시스템에 구축한 Sunburst(Solorigate) 백도어 맬웨어이다.

 

서로 다른 페이로드를 제공하는 Sunburst 샘플을 복구한 후 FireEye는 Teardrop이라는 이름의 세 번째 맬웨어 발견했는데, 이 맬웨어 이전에는 알려지지 않았던 메모리 전용 드롭퍼이자 맞춤형 Cobalt Strike 비콘을 배포하는 데 사용된 공격 도구이다.

 

Palo Alto Networks Unit 42와 Microsoft가 SolarWinds 공급망 공격을 조사하는 동안 StellarParticle 공격자와 연결되지 않았지만 트로이 목마화 된 Orion 빌드를 사용하여 전달된 네 번째 맬웨어도 발견되었다.

 

SuperNova라고 하는 이 추가 맬웨어는 공격자가 손상된 시스템에서 C# 코드를 원격으로 전송, 컴파일 및 실행할 수 있도록 DLL 파일로 배포되었다.

 

 

SolarWinds 공격 타임 라인

[그림1. SolarWinds 공급망 공격 타임 라인]

 

 

 

SolarWinds 공격자의 신원을 아직 알려지지 않았다

 

SolarWinds 공격은 12월 8일, 국가 해킹단체에 의해 공격당했다고 밝힌 사이버 보안 회사인 FireEye에 의해 처음 공개되었다.

 

공격의 일환으로 공격자들은 SolarWinds Orion 빌드 시스템에 액세스하여 Sunburst 백도어를 SolarWinds Orion IT 관리 소프트웨어에서 사용하는 합법적인 DLL에 주입했다. 이 DLL은 나중에 공급망 공격에서 SolarWinds 고객에게 자동으로 배포되었다.

 

SolarWinds 공격의 타임라인은 SolarWinds 내부망에서 초기 수상한 활동이 발견된 2019년 9월부터 시작되지만 이 공급망 공격의 배후인 해킹그룹의 정체는 아직 밝혀지지 않고 있다.

 

하지만, Kaspersky는 Sunburst 백도어가 러시아 Turla 해킹 그룹과 잠정적으로 연결된 .NET 백도어인 Kazuar와 기능이 겹친다는 사실을 발견 한 후 SolarWinds 해커와 이전에 알려진 사이버 스파이 그룹을 처음으로 연결했다.

 

Kaspersky의 GReAT (Global Research and Analysis Team) 책임자인 Costin Raiu는 "이러한 연결이 SolarWinds 공격의 배후를 밝히지는 않지만, 연구원들이 조사를 진전시키는 데 도움이 될 수 있는 통찰력을 제공한다"고 말했다.

 

 

SolarWinds 공급망 공격

[그림2. SolarWinds 공급망 공격]

 

 

일주일 전 FBI와 CISA, NSA도 공동 성명을 통해 SolarWinds 공격 배후에 러시아 지원을 받는 APT 그룹이 있을 가능성이 높다고 밝혔다.

 

SolarWinds의 CEO인 Sudhakar Ramakrishna는 "미국 정부와 많은 민간 부문 전문가들은 외국 국가가 미국의 사이버 인프라에 대한 광범위한 공격의 일부로 이 침입 작전을 수행했다고 믿고 있다. 현재까지, 우리의 조사는 공격자들의 신원을 독립적으로 검증하지 못했다."라고 밝혔다.

 

 

출처

https://www.bleepingcomputer.com/news/security/new-sunspot-malware-found-while-investigating-solarwinds-hack/

첨부파일 첨부파일이 없습니다.
태그 SolarWinds 공격  Sunspot 맬웨어  Sunburst 백도어 모니터링  악성 코드 주입