|
Sunburst 악성코드의 DGA를 해킹한 후 밝혀진 SolarWinds 피해자 침해사고분석팀 2020.12.24 |
|
|
보안 연구원들은 SolarWinds 공급망 공격에 대한 지속적인 조사 후 SunBurst/Solarigate 공격을 전개한 조직의 목록을 공유했다.
사이버 보안 기업 TrueSec이 공유하는 이러한 목록들에는 Intel, Nvidia, Cisco, Cox Communications, Belkin과 같은 유명한 기술 회사가 포함되어 있었다.
세계에서 두 번째로 큰 반도체 공급 업체인 Medietk도 이 캠페인에서 타겟이 되었을 가능성 또한 존재한다.
SolarWinds Orion IT 관리 플랫폼의 손상된 업데이트 매커니즘을 통해 SunBurst 백도어에 감염된 희상자 목록을 작성하기 위해, 연구원들은 각 손상된 장치에서 C2 서브도메인의 동적으로 생성된 부분을 해독했다.
SunBurst 백도어가 사용한 인코딩된 C2 서브 도메인 목록은 패시브 DNS(PDNS) 데이터셋과 웹 트래픽에서 수집되어 도난 데이터를 유출하기 위해 백도어가 접속한 avsvmcloud[.]com 도메인이다.
이 멀웨어의 도메인 생성 알고리즘(DGA)에 의해 생성된 서브 도메인 목록을 해독함으로써 TrueSec와 QiAnXin RedDrip, Kaspersky, Prevasio를 비롯한 기타 보안 회사들은 이미 공격을 받았거나 공지할 예정으로 추측되는 회사들의 목록을 얻을 수 있었다.
[그림 1. 디코딩된 백도어 C2 서브도메인 URL]
마이크로소프트도 SolarWinds 공급망 공격에 이어 그들 고객 40여 곳에서 네트워크에 침투 사실을 파악한 반면, 회사는 이를 통보하면서도 신원을 공개하지 않았다.
FireEye, Microsoft, VMware 등도 SolarWinds 공급망 공격에 의해 해킹 사고가 발생했지만, 이들 중 FireEye만이 2단계 공격 대상으로 지목돼 네트워크에서 정보를 도용당했다.
SolarWinds의 Orion 업데이트가 약 18,000명의 고객에게 설치되었을지라도, 공격자들은 높은 가치를 가진 조직에만 추가적인 공격을 가했다.
SolarWinds 공급망 공격으로 타격을 입은 조직의 목록에는 미국의 여러 주와 정부 기관도 포함되어 있었다
[그림 2. 부문별 SunBurst 피해자]
출처 |
