사이버 보안수요일 연구원들은 지난해 SolarWinds 공급망 공격을 주도한 Nobelium APT(Advanced Persistent Threat)가 설계 및 개발한 것으로 추정되는 이전에 문서화되지 않은 백도어를 공개하여 위협 행위자 목록에 합류했습니다.해커도구 라이브러리.
악성코드의 코드명을 "Tomiris"로 명명한 모스크바 소재 Kaspersky는 이 악성코드가 IT 관리 소프트웨어 제공업체 Orion 플랫폼을 표적으로 삼은 캠페인 기간 동안 사용된 또 다른 2단계 악성코드인 SUNSHUTTLE(일명 GoldMax)과 유사하다고 밝혔습니다. 노벨리움은 UNC2452, SolarStorm, StellarParticle, Dark Halo 및 Iron Ritual로도 알려져 있습니다.
카스퍼스키 연구원들은 "공급망 공격이 많은 APT 공격자들에 의해 악용되는 공격 벡터로 기록되었지만, 이 특정 캠페인은 공격자들의 극도의 주의와 피해자들의 인지도가 높다는 점에서 눈에 띕니다"라고 말했습니다. "현재까지 수집된 증거는 다음과 같습니다. 지금까지 Dark Halo는 Orion IT의 네트워크 내에서 6개월 동안 공격을 완성하고 빌드 체인에 대한 변조가 부작용을 일으키지 않았음을 확인했습니다."
Microsoft는 2021년 3월 SUNSHUTTLE을 자세히 설명하면서 이 바이러스를 명령 및 제어 백도어 역할을 하는 Golang 기반 악성 코드로 설명하고 공격자가 제어하는 서버에 대한 보안 연결을 설정하여 감염된 컴퓨터에서 파일을 획득하고 실행합니다. 시스템을 서버로.
Kaspersky가 2월 샘플에서 6월에 발견한 새로운 Tomiris 백도어 역시 Go로 작성되었으며 성공적인 DNS 하이재킹 공격을 통해 배포되었습니다. 이 공격 동안 기업 이메일 서비스의 로그인 페이지에 액세스하려는 대상이 리디렉션되었습니다. 유사한 인터페이스가 사기성 백도어에도 설정되었습니다. 보안 업데이트를 가장하여 방문자를 속여 악성 코드를 다운로드하도록 설계된 도메인입니다.
해당 공격은 이름이 알려지지 않은 독립 국가 연합 회원국의 여러 정부 조직을 대상으로 시작된 것으로 추정됩니다.
연구원들은 “백도어의 주요 목적은 손상된 시스템에 거점을 마련하고 추가적인 악성 구성 요소를 다운로드하는 것”이라며 암호화 방식부터 동일한 철자 오류에 이르기까지 수많은 유사점을 발견했다고 덧붙였습니다. 또는 개발 관행 공유 가능성”.
위협 행위자가 사용하는 다양한 도구 간에 중복이 발견된 것은 이번이 처음이 아닙니다. 올해 초 Kaspersky의 Sunburst 분석을 통해 악성 코드와 Turla Group의 .NET 기반 백도어인 Kazuar 사이의 많은 공유 기능이 밝혀졌습니다. 흥미롭게도 사이버 보안 회사는 기계가 Kazuar에 감염된 다른 네트워크에서 Tomiris를 탐지했다고 밝혔으며, 이는 세 가지 악성 코드 계열이 서로 관련될 가능성을 높였습니다.
즉, 연구원들은 이것이 위협 행위자가 속성을 오도하기 위해 알려진 공격자가 사용하는 전술과 기술을 고의적으로 복제하는 위장 공격의 경우일 수도 있다고 지적했습니다.
며칠 전 Microsoft는 Nobelium 그룹이 추가 페이로드를 제공하고 AD FS(Active Directory Federation Services) 서버에서 중요한 정보를 훔치는 데 사용하는 FoggyWeb이라는 수동적이고 고도로 표적화된 임플란트를 배포했습니다.
원문, 저자: 최고보안책임자(재인쇄할 경우) 출처를 밝혀주세요: https://cncso.com/kr/new-discovery-of-tomiris-backdoor-linked-to-hackers-behind-solarwinds-cyber-attack .html
