Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향SolarWinds 해커는 Raindrop을 숨기기 위해 7-Zip 코드를 사용했다
작성일 2021-01-20 조회 53

 

 

SolarWinds 공급망 공격에 대한 지속적인 분석으로 연구원들은 피해자 네트워크의 컴퓨터 전체에 배포하는데 사용되는 네 번째 악성 도구인 "Raindrop"을 발견했다.

 

해커는 Raindrop을 이용해 Cobalt Strike 비콘을 전달하여 트로이 목마화된 SolarWinds Orion 업데이트를 통해 이미 감염된 피해자를 선택했다.

 

현재 SolarWinds 사이버 공격에서 확인된 네 가지 맬웨어가 있으며, 이는 러시아인 위협 행위자의 소행으로 추정된다.

 

- Sunspot, 오리온 플랫폼에 백도어를 주입하는 데 사용되는 초기 맬웨어

 

- Sunburst(Solorigate), 수천 명의 SolarWinds 고객에게 배포된 Orion 업데이트에 심어진 멀웨어 

 

- Sunburst, 특정 피해자에게 제공한 Teardrop 공격 후 맞춤형 Cobalt Strike 비콘 배포

 

- Raindrop, Teardrop과 유사한 새로운 맬웨어

 

 

Cobalt Strike를 로드하기 위해 7-Zip 파일로 위장

 

Symantec 연구원들은 SolarWinds 사이버 공격을 통해 손상된 시스템에서 새로운  Raindrop 맬웨어를 발견했다. 그들은 Teardrop과 동일한 기능을 수행하지만 배포 메커니즘과 코드 수준에서 차이가 있음을 발견했다.

 

 

[그림1. Teardrop과 Raindrop의 차이점]

 

 

악의적인 기능을 숨기기 위해 해커는 수정된 7-Zip 소스 코드를 사용하여 Raindrop을 DLL 파일로 컴파일했다. 7-Zip 코드는 어떤 식으로도 사용되지 않으며 커버 역할만 한다.

 

Symantec은 2020년 7월 초에 트로이 목마화된 Orion 플랫폼을 설치한 한 피해자에게서 Sunburst를 통해 바로 다음 날 Raindrop이 발생한 사실을 알아냈다. 연구진은 11일 후 악성 활동이 관찰되지 않은 또 다른 시스템에게 Raindrop이 나타났다고 밝혔다.

 

Raindrop이 어떻게 피해자 네트워크에 접속하게 되었는지는 현재로선 미스테리이다. Symantec은 Sunburst가 Raindrop을 직접 제공했다는 증거는 발견하지 못했지만, 최소 한 대의 컴퓨터가 Sunburst에 의해 이미 손상된 네트워크에 존재했다.

 

또 다른 피해자 네트워크에서는, Raindrop이 2020년 5월에 나타났다. 며칠 후 다른 시스템에 맬웨어를 배포하기 위해 PowerShell 명령이 실행되었다. SolarWinds 사이버 공격을 조사하는 사이버 보안 회사 Volexity도 해커들이 원격 컴퓨터에 새로운 작업을 생성하여 측면 이동 활동에 PowerShell을 사용했다고 보도했다.

 

Symantec은 Cobalt Strike 비콘을 전달하는 새로운 맬웨어의 샘플 4개를 발견했다. 세 가지의 경우, 페이로드는 HTTPS와 통신하도록 구성되었다. 마지막 경우, 컴퓨터가 인터넷에 액세스할 수 없고 네트워크의 다른 컴퓨터가 명령 및 제어에 사용되었기 때문에 SMB Named Pipe를 통해 통신이 발생했다.

 

Symantec은 Raindrop을 발견하여 SolarWinds의 공급망 공격 퍼즐에 또 다른 조각을 추가했다. 그것은 이 작업의 또 다른 측면을 드러내며, 보안 전문가와 조사자가 영향을 받는 네트워크를 정리하기 위한 노력에 새로운 방법을 제공한다.

 

 

 

 

출처

https://www.bleepingcomputer.com/news/security/solarwinds-hackers-used-7-zip-code-to-hide-raindrop-cobalt-strike-loader/

첨부파일 첨부파일이 없습니다.
태그 SolarWinds 공급망 공격  Raindrop