마이크로소프트와 FireEye, SolarWinds 공격자와 연결된 새로운 악성코드 샘플 공개
목차:
Microsoft 위협 인텔리전스 센터와 Microsoft 365 Defender 연구팀이 실시한 최근 분석에 따르면 악명 높은 Nobelium APT가 SolarWinds 공급망 공격에서 사용한 세 가지 추가 악성 샘플이 드러났습니다. 보고서에 따르면 새로 발견된 2단계 악성코드는 탐지를 피하고, 지속성을 유지하며, 추가적인 페이로드를 손상된 네트워크에 로드하는 데 사용되었습니다.
GoldMax, GoldFinder, 및 Sibot 백도어
Microsoft 연구 세부 사항 세 가지 새로운 변종으로 명명된 GoldMax, GoldFinder, 및 Sibot. FireEye의 동시 조사도 새로운 악성 샘플을 가리킵니다 보안 전문가들에 따르면, 보안 전문가들에 따르면,.
According to the security experts, GoldMax (Sunshuttle) 은 사이버 스파이 활동을 위해 사용되는 정교하고 악명 높은 후기 단계의 명령 및 제어(C&C) 백도어입니다. 복잡한 회피 기술을 적용하여 C&C 트래픽을 혼란시키고 Google, Yahoo, 또는 Facebook과 같은 합법적인 웹사이트에서 오는 트래픽처럼 위장합니다. 악성 코드가 사용하는 APT 서버는 NameSilo를 통해 익명으로 등록되었습니다. 이 도메인 공급자는 러시아 및 이란 국가 지원 APT 행위자들이 자주 사용합니다.
최근에 확인된 두 번째 위협, GoldFinder, 는 맞춤형 HTTP 추적 도구로 작동합니다. 이는 손상된 호스트와 서버 간의 C&C 통신에 관련된 프록시 서버와 네트워크 보안 도구를 찾을 수 있습니다.
마지막 악성 샘플, Sibot, 는 원격 공격자 서버에서 지속성을 유지하고 추가 악성 코드를 로드하기 위해 사용되는 VBScript 위협입니다. 레이더에 감지되지 않기 위해 악성 VBScript 파일은 합법적인 Windows 작업을 가장하고 예약된 작업으로 실행됩니다.
Microsoft와 FireEye는 위에서 언급한 맞춤형 악성 변종이 다수의 공급업체를 대상으로 한 2020년 6월-9월 기간에 사용되었다고 지적합니다. 악성 소프트웨어는 덤프된 자격 증명 및 수평 이동을 통해 초기 접근 후 침입의 최신 단계에서 활용되었습니다. TearDrop 악성코드. 특히, 악성 변종은 특정 네트워크에 맞춰 사용자 정의되어 고유한 후 침입 작업에 맞춰 사용되었습니다. Microsoft에 따르면, 새 악성 코드는 향상된 기능을 가지고 있으며, 비정상적인 공격 패턴을 사용하여 Nobelium 해커의 점점 더 정교해지고 있는 것을 보여줍니다.
Nobelium APT
SolarWinds 공급망 공격에 대한 심층 조사 후, Microsoft는 Nobelium APT로 명명된 새 위협 행위자에 대해 말하기 시작했습니다. 새 해커 집단은 악성 도구의 코드를 탐지 및 은폐하는 데 뛰어난 실력을 가진 국가 지원 행위자인 것으로 추정됩니다. 공격자의 출처는 현재 알려지지 않았지만, Microsoft 보안 분석가는 이 그룹이 러시아와 관련이 있다고 믿고 있습니다.
사이버 보안 영역에서 새로운 플레이어임에도 불구하고, Nobelium은 맞춤형 악성 코드를 제작하고 전례 없는 사이버 스파이 작전을 시작할 수 있는 능숙한 행위자로서의 확고한 명성을 이미 얻었습니다. 해커가 18,000개 이상의 조직을 트로이화된 SolarWinds Orion 업데이트를 통해 성공적으로 손상시키자 국제 사회는 이 새로운 위협에 주목하게 되었습니다. 피해자 목록에는 포춘 500 목록의 452개 이상 기업, 9개의 미국 연방 기관 및 세계 최고의 보안 회사가 포함됩니다. 특히, FireEye를 포함한 다양한 보안 공급업체에 의해 그룹의 활동이 분석되었습니다. 추적하면서 UNC2452, Violexity 추적하면서 이 집단을 DarkHalo로 명명하며, Microsoft는 이를 Nobelium APT라고 부릅니다. 2019년 말에 등장한 이후, Nobelium 해커들은 침입 중 여러 맞춤형 악성 변종을 제작 및 사용했습니다. 보안 전문가들은 이전에 Sunburst를 포함하여 네 가지 다른 샘플을 식별했습니다.
Since its emergence at the end of 2019, Nobelium hackers produced and utilized multiple custom malicious strains during their intrusions. Security experts have previously identified four different samples, including Sunburst, Sunspot, Raindrop, 및 Teardrop. 그리고 최근 발견된 변종은 이 수를 7개로 증가시켰습니다. GoldMax, GoldFinder, 및 Sibot 목록에 포함되었습니다.
Nobelium APT 공격 탐지
Nobelium APT 악성 활동을 탐지하고 GoldMax, GoldFinder, 및 Sibot 악성코드에 대처하기 위해, 당사의 숙련된 위협 보상 개발자들은 Threat Detection Marketplace에서 사용할 수 있는 커뮤니티 Sigma 규칙을 발표했습니다.
NOBELIUM (GoldMax, GoldFinder, 및 Sibot)은 SolarWinds 공격자가 사용했습니다 (Microsoft에서 발견)
규칙은 다음 플랫폼에 번역되었습니다.
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
MITRE ATT&CK:
전술: 실행, 방어 회피
기술: 서명된 바이너리 프록시 실행 (T1218)
Nobelium APT 공격을 다루는 더 많은 탐지 콘텐츠를 찾으려면, 당사의 이전 블로그 기사를 확인하는 것을 권장합니다. 이들은 FireEye 침해, Sunburst and Raindrop 분석, Golden SAML 공격, 및 Dark Halo 개요에 헌신합니다.
무료 구독을 얻으세요. Threat Detection Marketplace는 SOC 콘텐츠를 위한 세계 선도적인 Detection as Code 플랫폼으로, 23개 이상의 시장 선도 SIEM, EDR, NTDR 기술에 대한 100,000개 이상의 탐지 및 대응 알고리즘에 대한 접근 및 지원을 제공합니다. 자신만의 탐지를 제작하고 전 세계 사이버 수호자 커뮤니티와 공유하고 싶으신가요? 그렇다면 우리의 Threat Bounty 프로그램에 참여하세요.!