Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향Microsoft는 SolarWinds 해킹으로 40명 이상의 피해자를 확인했다
작성일 2020-12-21 조회 199

Microsoft는 피해자의 80%가 미국에 있다고 밝혔다.

 

Microsoft

 

 

Microsoft는 트로이 목마로 제작된 SolarWinds Orion 플랫폼을 설치한 고객 40명 이상을 확인했으며 공격자가 추가 2 단계 페이로드를 통해 침입을 확대했다고 밝혔다.

 

OS 제조업체는 모든 Windows 설치 환경에 내장된 무료 제품인 Microsoft Defender 바이러스 백신 제품에서 수집한 데이터를 사용하여 이러한 침입을 확인할 수 있었다고 말했다.

 

Microsoft의 Brad Smith 사장은 현재 80%가 미국에 있으며 나머지는 캐나다, 멕시코, 벨기에, 스페인, 영국, 이스라엘, UAE 등 영향을 받는 모든 조직에게 알리는 중이라고 말했다.

 

현재 알려진 SolarWinds 피해자 목록에는 대부분 미국 정부 기관이 포함되어 있지만, Smith는 44%가 소프트웨어 회사나 장비 제공업체와 같은 IT 회사라고 말했다.

 

 

microsoft-sw-data.jpg

[그림1. 사이버 공격 피해자들]

 

 

해당 목록에 있는 가장 최근의 피해자는 Microsoft이다.

 

Smith는 분석 몇 시간 전에 자체 인프라에 SolarWinds 앱의 트로이 목마 버전을 설치했다고 인정했지만, 공격자들이 운영 체제에 접근할 수 있고 비즈니스 고객과 최종 사용자에게 영향을 미칠 수 있다는 사실을 부인했다.

 


SolarWinds 공격 요약

 

이 사건은 지난 주 보안회사인 FireEye에서 한 국가가 후원하는 공격 그룹이 내부 네트워크에 접속해 pen-testing 도구를 훔치고 정부 계약에 관한 서류에 액세스하려고 시도했다고 말하면서 시작되었다.

 

FireEye는 위반 사항을 조사하는 동안 대기업 네트워크 내에서 사용되는 네트워크 모니터링 도구인 SolarWinds Orion의 맬웨어 기반 버전에 대한 침입을 추적했습니다.

 

FireEye의 통보를 받은 SolarWinds는 3월과 6월 사이에 발표된 Orion 앱 업데이트에 백도어 트로이 목마가 포함되어 있다고 밝혔다.

 

하루 후, SolarWinds는 SEC 문서를 통해 약 18,000명의 고객이 트로이 목마 업데이트를 설치했으며, 대기업 네트워크 내에서 대규모 검색을 실행했으며, IT 담당자가 맬웨어 기반 Orion 앱 버전을 설치했는지 여부와 2 단계 맬웨어가 있는지 확인했다고 인정했다.

 

SUNBURST 또는 Soligate라는 멀웨어가 1단계와 2단계 페이로드 사이에 분리된 설계를 포함했기 때문에 공격자들이 어떤 시스템에 접근하고 얼마나 많은 시스템에 접근했는지 결정하는데 까다로웠다.

 

그럼에도 불구하고 Microsoft는 사용자를 보호하기 위한 조치를 취했고 1단계 SUNBURST 맬웨어가 공격자에게 보고하는 데 사용된 웹 도메인을 확보했다.

 

Microsoft는 GoDaddy 및 FireEye와 함께 도메인을 킬 스위치로 전환하여 SUNBURST 맬웨어가 2단계 페이로드를 다운로드하는 것을 방지했다.

 

Smith에 따르면, 이 숫자는 현재 약 40개 정도이지만, 조사자들이 이러한 2단계 페이로드에 대해 더 많이 알게 되면서 그 수는 증가할 것으로 보이며, 그 중 일부는 Teardrop이라는 이름으로 확인된다.

 

아래는 Microsoft Defender 원격 분석에 따라 1단계 SUNBURST 멀웨어에 감염된 시스템의 현재 분포를 보여준다.

 

 

microsoft-sw-map.jpg

[그림2. 현재 SUNBURST 맬웨어에 감염된 시스템의 분표]

 

 

 

출처

https://www.zdnet.com/article/microsoft-says-it-identified-40-victims-of-the-solarwinds-hack/

 

첨부파일 첨부파일이 없습니다.
태그 SolarWinds Orion  트로이 목마  SUNBURST   Soligate