|
솔라윈스 시스템을 목표로 하는 두번째 해킹 그룹 침해사고분석팀 2020.12.23 |
|
|
솔라윈스 공급망 공격의 여파로 법의학적 증거가 서서히 발견되고 있는 가운데 보안 연구원들은 솔라윈스 소프트웨어를 이용해 기업과 정부 네트워크에 악성코드를 심은 두 번째 위협 행위자를 발견했다.
이 두 번째 위협 행위자에 대한 내용은 아직 부족하지만 보안 연구자들은 이 두 번째 위협 행위자가 악성코드를 삽입하기 위해 솔라윈스를 침입한 러시아 정부 지원 해커와 관련이 있다고는 생각하지는 안흔다.
원래 공격에 사용된 멀웨어는 코드네임 SUNBUST로 명명되었으며, 오리온 앱의 부비트랩 업데이트로 솔라윈스 고객에게 전달되었다.
감염된 네트워크에서 멀웨어는 제작자에게 ping 명령어를 전송한 이후, 백도어 트로이 목마를 다운로드하여 공격자가 직접 키보드 세션을 시작할 수 있도록 합니다.
[그림 1. 공격 절차]
보안 연구원들은 공격자들이 Supernova 웹 셸을 사용하여 악의적인 파워셸 스크립트(CosmicGale)를 다운로드, 컴파일, 실행하고 있다고 믿었지만, 마이크로소프트 보안팀의 후속 분석에서 Supernova 웹 셸은 원래 공격 체인의 일부가 아니었다는 것이 밝혀졌다.
기존에 발견된 Sunbust DLL과는 달리 Supernova DLL의 경우 솔라윈스 디지털 인증서로 서명되지 않았기 때문이다.
마이크로소프트의 보안 연구원인 Nick Carr가 GitHub에 올린 글에 따르면, Supernova 웹 셸은 온라인에 노출된 채 CVE-2019-8917에 취약한 솔라윈스 오리온 설비에 심어진 것으로 보인다. https://github.com/fireeye/sunburst_countermeasures/pull/5
[그림 2. 관련 트윗]
출처 https://www.zdnet.com/article/a-second-hacking-group-has-targeted-solarwinds-systems/
|
