Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향FireEye, SolarWinds 해커와 관련된 새로운 악성 코드 발견
작성일 2021-03-05 조회 222

FireEye, SolarWinds 해커와 관련된 새로운 악성 코드 발견

 

 

FireEye는 SolarWinds 공급망 공격의 배후에 있는 위협 행위자들에 의해 손상된 조직의 서버에서 새로운 "정교한 2단계 백도어"를 발견했다.

 

새로운 악성코드는 Sunshuttle이라고 불리며, 2020년 8월 미국의 한 법인에 의해 공용 맬웨어 저장소에 업로드되었다.

 

FireEye 연구원인 Lindsay Smith, Jonathan Leathery, Ben Read는 Sunshuttle이 SolarWinds 공급망 공격의 배후에 있는 위협 행위자와 관련이 있다고 믿고 있다.

 

FireEye는 "UNC2452에 의해 손상된 피해자에게 Sunshuttle을 관찰했으며, UNC2542와 연관돼 있다는 징후를 보였지만 이 연관성을 완전히 검증하지는 못했다"고 말했다.

 

Sunshuttle은 탐지 회피 기능을 갖춘 GO 기반 맬웨어이다. 현재 백도어 설치에 사용되는 감염 벡터는 아직 알려지지 않았지만 2단계 백도어로서 가장 가능성이 높다고 한다.

 

FireEye는 "새로운 Sunshuttle 백도어는 C2 통신을 위한 혼합 트래픽 기능을 통해 간단하지만 탐지 회피 기술을 보여주는 정교한 2단계 백도어이다. Sunshuttle은 다른 Sunburst 관련 도구와 함께 네트워크 정찰을 수행할 수 있는 2단계 백도어 역할을 할 것이다."라고 덧붙였다.

 

 

[그림1. FireEye 연구원의 트윗]

 

 

SolarWinds 해커에 연결된 다섯 번째 맬웨어

 

FireEye와 SolarWinds 해킹 배후인 국가 해커와의 연관성이 확인되면 Sunshuttle은 공급망 공격을 조사하는 동안 발견된 네 번째 맬웨어가 된다.

 

공격을 조율한 위협 행위자는 현재 UNC2452(FireEye), StellarParticle(CrowdStrike), SolarStorm(Palo Alto Unit 42), Dark Halo(Vollexity)로 추적되고 있다.

 

CrowdStrike는 SolarWinds의 Orion IT 관리 소프트웨어 개발 환경에서 발견된 후 Orion 플랫폼 빌드에 백도어를 삽입하는데 사용되는 Sunspot 맬웨어를 발견했다.

 

Sunburst(Solorigate) 백도어 멀웨어는 플랫폼의 내장 자동 업데이트 메커니즘을 통해 트로이 목마 Orion 빌드를 사용하는 조직의 시스템에 대한 2단계 공격 중에 배포되었다.

 

FireEye는 이전에 알려지지 않은 메모리 전용 드로퍼이자 공격자가 맞춤형 Cobalt Strike Beacon을 배포하는데 사용한 악용 도구인 Theardrop이라는 세 번째 맬웨어를 발견했다.

 

네 번째 맬웨어인 Symantec은 SolarWinds 해커들이 공격 후 Cobalt Strike Beacon을 전달하기 위해 사용하는 Teardrop과 유사한 맬웨어인 Raindrop을 발견했다.

 

공급망 공격을 조사하는 동안, Palo Alto Networks Unit 42와 Microsoft는 UNC2452와 관련이 없지만 트로이 목마화된 Orion 빌드를 사용하여 전달되는 맬웨어 변형인 SuperNova를 발견했다.

 

 

 

출처

https://www.bleepingcomputer.com/news/security/fireeye-finds-new-malware-likely-linked-to-solarwinds-hackers/

첨부파일 첨부파일이 없습니다.
태그 SolarWinds  공급망 공격  Sunshuttle  2단계 백도어