Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향SolarWinds와 러시아 연계 Turla APT와의 연결
작성일 2021-01-12 조회 78

Sunburst backdoor shares features with Russian APT malware

 

 

전문가들은 SolarWinds 공급망 공격에서 사용된 Sunburst 백도어와 Turla 백도어인 Kazuar의 유사점을 발견했다.

 

Kaspersky 보안 전문가들은 SolarWinds 공급망 공격에서 사용된 Sunburst 맬웨어와 러시아 연계 APT 그룹인 Turla가 실시한 사이버 스파이 캠페인에 이용된 Kazuar 백도어 사이의 여러 유사점을 확인했다.

 

이 발견은 미국 FBI, CISA, ODNI 및 NSA가 러시아의 SolarWinds 공급망 공격을 비난하는 공동 성명을 발표한 지 며칠 후에 나왔다.

 

Turla APT 그룹(일명 Snake, Uroburos, Waterbug, Venomous Bear 및 KRYPTON 등)은 중동, 아시아, 유럽, 북미와 남미, 구소련 국가들의 외교 및 정부 기관과 민간 기업을 대상으로 2007년부터 활동해고 있다.

 

이전에 알려진 희생자들의 목록은 길고 스위스 방위 회사 RUAG, 미국 국무부 및 중앙 사령부를 포함한다.

 

Sunburst 맬웨어를 해부하는 동안, Kaspersky 전문가들은 Kazuar와 몇몇 특이한 공통의 특징들을 포함하여 몇 가지 유사점을 발견했다.

 

"Sunburst 백도어를 살펴보다가 이전에 Kazuar라고 알려진 백도어와 겹치는 몇 가지 특징을 발견했다. Kazuar는 2017년에 Palo Alto가 처음 보고한 .NET 백도어이다. Palo Alto는 Kazuar를 Turla APT 그룹과 연결했지만, 확실한 근거는 공개되지 않았다. Kazuar가 지난 몇 년 동안 여러 차례 위반했을 때 다른 Turla 도구와 함께 사용되었음을 확인한다."라고 Kaspersky가 발표한 보고서는 말한다.

 

"Sunburst와 Kazuar 간에 공유되는 특이한 기능으로는 피해자의 UID 생성 알고리즘, Sleeping 알고리즘 및 FNV-1a 해시의 광범위한 사용이 포함된다."

 

 

SolarWinds

[그림1. SolarWinds 공격]

 

 

Kazuar는 Carbon 플랫폼을 포함한 그룹의 2단계 백도어를 대체하기 위해 러시아와 연결된 APT 그룹에서 사용된 완전한 기능을 갖춘 .NET 백도어이다.

 

"SolarWinds의 배후에 누가 있는지 알 수 없다. 명확히 하기 위해 우리의 연구는 Sunburst 맬웨어와 Kazuar 사이의 공유된 코드 기능을 확인했다."라고 보고서는 계속된다.

 

Kaspersky는 Kazuar 맬웨어가 지속적으로 개선되었으며, 2020년 12월 29일 Kaspersky는 최신 샘플을 탐지했다고 보고했다.

 

전문가들은 Sunburst와 Kazuar 변형에서 나온 코드 조각들 사이에 여러 가지 유사성이 있는 반면 UID 계산 서브루틴과 FNV-1a 해싱 알고리즘 사용 및 Sleep 루프가 동일하지 않다는 것을 발견했다.

 

Kaspersky는 이러한 유사성의 원인에 대해 몇 가지 가정을 했는데, 그 중 하나는 Sunburst와 Kazuar가 동일한 위협 행위자들에 의해 개발되었을 수도 있다는 것이다.

 

또 다른 가정은 Sunburst의 개발팀이 Kazuar에서 코드 일부에서 영향을 받았지만, 이것은 두 공격자가 연결되어 있다는 것을 의미하지는 않는다.

 

Kaspersky의 보고서에서 강조한 이러한 유사성에 대한 설명은 다음과 같다.

 

- Sunburst는 Kazuar와 같은 그룹에서 개발했다.

 

- Sunburst 개발자는 Kazuar의 코드를 참고했다. (Kazuar 코드를 "영감"으로 사용)

 

- DarkHalo/UNC2452와 Kazuar를 사용하는 두 그룹은 동일한 소스에서 맬웨어를 얻었다.

 

- Kazuar 개발자 중 한 명은 그의 지식과 ​​도구를 가지고 다른 팀으로 이동했다.

 

- Sunburst 개발자는 다른 그룹에게 책임을 전가하기 위해 이러한 미묘한 연결 고리를 잘못된 플래그의 형태로 도입했다.

 

이 보고서의 시점에서 위의 주장 중 어느 것이 올바른 것인지는 알 수 없다.

 

 

출처

https://securityaffairs.co/wordpress/113289/apt/solarwinds-turla-apt.html

https://www.bleepingcomputer.com/news/security/sunburst-backdoor-shares-features-with-russian-apt-malware/

첨부파일 첨부파일이 없습니다.
태그 SolarWinds 공급망 공격  Sunburst 백도어  Turla  Kazuar 백도어