|
SolarWinds Orion에 Supernova 멀웨어를 숨기는 해커 침해사고분석팀 2021.03.09 |
|
|
SolarWinds Orion에 설치된 Supernova 악성 코드가 인터넷에 노출되어 이와 관련된 침입 활동이 중국에 기반을 둔 위협 행위자와 관련있음이 밝혀졌다.
보안 연구원들은 이 해커 그룹을 Spiral로 명명하고 2020년 동일한 피해자 네트워크에서 발생한 2건의 침입으로부터 발견된 상관 관계를 분석하여 동일한 침입자의 활동임을 파악했다.
SolarWinds 공급망 공격에서 사용되어 개발자의 Orion 소프트웨어 빌드에 존재했던 멀웨어와 달리, Supernova 웹 쉘은 해커가 공개 웹으로 접근할 수 있는 제품 설치 과정에서의 취약점을 악용한 후 플랫폼 내부에서 종료되었다.
초기 판단으로는 Microsoft가 러시아와 연결된 공급망 해커를 추적하기 때문에 멀웨어가 Nobelium과 다른 위협 그룹에 속한다는 결론을 내렸다.
SecureWorks CTU(Counter Threat Unit)의 연구원들은 2020년 11월 사고 대응 작업 중에 Supernova가 고객의 네트워크에 드랍되었다는 사실을 발견했다. 침입 경로는 SolarWinds Orion API 인증 우회(CVE-2020-10148)로 공격자가 정찰 스크립트와 명령을 실행하고 30 분 후에 Supernova 웹 쉘을 드랍할 수 있게한다.
[그림1. Supernova 웹 쉘 작동 트래픽]
마지막 정찰 명령과 웹 쉘 삭제 사이의 간격은 침입자가 스캔 및 악용 행위를 하고 네트워크에서 높은 가치의 피해자를 찾는 것으로 간주된다. 일단 웹 쉘이 설치되면 공격자는 도메인 제어 및 민감한 비즈니스 데이터에 대한 액세스 권한을 부여하는 두 개의 서버에만 네트워크 공유를 매핑한다.
플랫폼이 사용하는 합법적인 파일( app_web_logoimagehandler.ashx.b6031896.dll ) 을 트로이 목마화하여 SolarWinds Orion에 Supernova를 설치한 후 공격자는 comsvcs.dll 라이브러리를 사용하여 LSASS(Local Security Authority Subsystem Service) 프로세스의 내용을 덤프했다.
[그림2. 덤프 과정]
8월에 확인된 동일한 네트워크에 대한 이전의 침입도 유사하게 수행되었지만 진입점은 취약한 공개용 ManageEngine ServiceDesk 서버였다.
이 경우에 대해 SecureWorks CTU는 2018년에 초기 액세스가 발생했으며 해커는 이 액세스를 사용하여 주기적으로 도메인 자격 증명을 수집하고 유출했음을 발견했다.
당시 연구원들은 활동을 특정 위협 그룹의 것으로 지목할 수 없었지만 동일한 방법과 출력 파일 경로를 사용하여 LSASS 프로세스를 덤프했다는 사실을 발견했다.
하지만 2020년 11월 사건에서와 동일한 두 서버에 액세스했고 손상된 관리자 계정 중 3개가 두 경우 모두 사용되는 등의 추가적인 공통점이 밝혀졌다.
특정 운영 방식(ManageEngine 서버 대상, 자격 증명 및 데이터 도용을위한 장기 지속성, 지적 재산 도용)은 중국 해킹 그룹의 특징이지만 확실한 증거로 간주되지는 않는다.
그러나 8월의 침입은 연구자들에게 세부 정보를 제공했는데 공격자의 인프라에 있는 호스트에 대한 중국의 IP주소이다.
분석에 따르면 SecureWorks CTU 연구원은 해커가 네트워크에서 엔드 포인트 에이전트 설치 프로그램을 다운로드하여 인프라에 설치한 후 IP 주소를 노출했을 가능성이 있다고 추측한다.
연구원들은 IP 주소의 노출은 의도하지 않았을 가능성이 높으므로 지리적 위치는 Spiral 위협 그룹이 중국에서 활동한다는 가설을 뒷받침한다고 말했다.
출처 https://www.bleepingcomputer.com/news/security/hackers-hiding-supernova-malware-in-solarwinds-orion-linked-to-china/ https://www.zdnet.com/article/supernova-malware-clues-link-chinese-threat-group-spiral-to-solarwinds-hacks/ |
