|
24개국에 대해 NativeZone 백도어를 사용하는 SolarWinds 해커 침해사고분석팀 2021.06.02 |
|
|
마이크로 소프트가 SolarWinds 해커가 이번에는 24개국의 정부 기관, 컨설턴트, 싱크 탱크 및 비정부 조직을 대상으로 복귀한다고 공개했다.
Microsoft의 발견은 사이버 보안 회사인 Volexity에 의해 확정되었다.
연구에 따르면 이번 공격에는 SolarWinds 공격자들이 미국과 유럽의 NGO, 연구 기관, 정부 및 국제 기관을 선별한 것으로 밝혀졌다.
Microsoft의 고객 보안 및 신뢰 담당 부사장인 Tom Burt에 따르면 최신 공격은 150개의 서로 다른 조직과 3,000개의 이메일 계정에 영향을 미쳤다.
Microsoft는 러시아의 위협 행위자가 Nobelium, APT29, UNC2452, Dark Halo, SolarStorm 및 StellarParticle를 포함한 다른 이름으로 활동했을 가능성이 크며 해당 조직들의 공격에 대한 책임이 있을 수 있다고 말한다.
“SolarWinds에 대한 공격과 관련지을 때, Nobelium 플레이북의 일부는 신뢰할 수 있는 기술 제공 업체에 접근하고 고객을 감염시키는 것임이 분명합니다. 소프트웨어 업데이트와 현재 대량 이메일 제공 업체에 편승함으로써 Nobelium은 스파이 활동에서 부수적 피해 가능성을 높이고 기술 생태계에 대한 신뢰를 약화시킵니다.”라고 Burt는 덧붙였다. 최근 공격은 2021년 1월에 시작되어 5월 25일에 최고조에 달했다. 이 공격은 피싱 캠페인으로 시작하여 Constant Contact라는 대량 메일 서비스를 악용한다. 악의적인 활동을 숨기기 위해 USAID로 가장했고 이 악성 피싱 이메일은 다양한 업종 및 조직에 배포되었다.
[그림1. 피싱 이메일 샘플]
이메일은 무해해 보이지만 클릭 즉시 ICA-declass.iso라는 악성 광 디스크 이미지 파일을 전달하고 Documents.dll을 통해 NativeZone이라는 사용자 지정 Cobalt Strike Beacon 임플란트를 주입하는 링크가 포함되어 있다.
[그림2. 감염 체인]
영구 액세스 유지 관리, 데이터 유출 기능을 갖추고 있으며 추가 맬웨어를 설치할 수도 있다.
공격 대상 시스템이 iOS기반인 경우 피해자는 제로 데이 CVE-2021-1879에 대한 익스플로잇이 실행될 새로운 원격 서버로 리디렉션되는데 이 서버는 Apple이 이미 3월 26일에 해결한 것으로 알려져있다.
출처 https://www.hackread.com/solarwinds-hackers-return-nativezone-backdoor/ https://blogs.microsoft.com/on-the-issues/2021/05/27/nobelium-cyberattack-nativezone-solarwinds/ |
