SUPERNOVA 백도어: 두 번째 APT 그룹이 SolarWinds 취약점을 악용하여 웹 셸 멀웨어를 배포하다

획기적인 SolarWinds 공급망 공격과 관련된 새로운 세부사항이 밝혀졌습니다. 연구 Microsoft의 연구에 따르면 또 다른 독립적인 APT 그룹이 SolarWinds Orion 손상에 관여했을 가능성이 있습니다. 특히, 사이버 범죄자들은 새롭게 발견된 제로데이 버그를 이용하여 목표로 한 인스턴스에 SUPERNOVA 백도어를 감염시켰습니다.

SolarWinds Orion 소프트웨어의 새로운 ZeroDay 취약점 (CVE-2020-10148)

해당 취약점은 2020년 12월 25일에 전용 CERT 협력 센터 자문서에서 공개되었습니다. 연구원들은 이것이 API 명령을 원격에서 실행하고 SUPERNOVA 백도어를 배포하기 위해 사용된 인증 우회 문제 (CVE-2020-10148)라고 밝힙니다. 이 취약점은 SolarWinds 서버에 URL 요청의 Request.PathInfo 부분에 특별한 매개변수를 추가하여 API 인증을 우회할 수 있도록 합니다. 이를 통해, 권한이 없는 해커가 SkipAuthorization 플래그를 설정하고 API 요청 처리를 시작할 수 있습니다..

SUPERNOVA 백도어 기술 개요

Unit 42 분석가들은 증거를 제공합니다 SUPERNOVA 백도어가 정찰 및 횡적 이동을 목표로 복잡한 .NET 프로그램을 배포할 수 있는 고도로 정교하고 은밀한 .NET 웹 쉘 멀웨어라는 증거를 제공합니다. 이 멀웨어는 합법적인 .NET 라이브러리 “app_web_logoimagehandler.ashx.b6031896.dll.”을 수정하여 SolarWinds Orion 시스템에 삽입되었습니다. 실제로, 정품 DLL에 네 가지 추가 매개변수(codes, clazz, method, args)가 추가되었습니다. 이러한 사소한 추가사항은 공격자들이 서버에서 임의의 명령을 보내고 서버 사용자 권한으로 메모리 내에서 실행할 수 있도록 했습니다. 

SUPERNOVA는 DynamicRun 메서드를 사용하여 언급된 네 가지 매개변수를 실시간으로 .NET 어셈블리로 컴파일하고 Orion 호스트에서 실행합니다. 이러한 접근 방식은 악성 아티팩트가 디스크에 기록되지 않기 때문에 탐지를 회피할 수 있게 합니다. 

특히, 분석가들은 SUPERNOVA 웹 쉘이 SUNBURST 해커와 관련이 없는 다른 APT 그룹에 의해 심어진 것이라 믿고 있습니다. 이러한 가정은 트로이 목마화된 .NET DLL이 디지털 서명을 가지고 있지 않다는 점에서 뒷받침됩니다.

공격 탐지 및 완화 조치

새로운 SolarWinds 제로데이 버그는 2020년 12월 23일에 해결되었으므로 사용자는 소프트웨어를 안전한 버전으로 업그레이드할 것을 권장합니다. 업그레이드가 불가능한 경우, 관련 완화 단계를 더 알아보기 위해 Solarwinds 보안 자문 을 확인하세요.

또한, 2020년 12월 14일부터 SOC Prime 팀이 개발하여 Threat Detection 마켓플레이스에서 제공 중인 Sigma 규칙을 적용하여 SUPERNOVA 백도어를 사전에 탐지할 수 있습니다: 

https://tdm.socprime.com/tdm/info/QSO2ai3DAIUw/3WLCX3YBTwmKwLA9I6bl/

이 규칙은 다음 플랫폼에 대한 번역을 가지고 있습니다: 

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio

EDR: Carbon Black

NTA: Corelight

MITRE ATT&CK: 

전술: 초기 접근

기술: 공급망 공격 (T1195)

Threat Detection 마켓플레이스에 대한 유료 액세스가 없는 경우, SUPERNOVA 웹 쉘과 관련된 Sigma 규칙을 잠금 해제하기 위해 커뮤니티 구독으로 무료 체험을 활성화할 수 있습니다. SolarWinds Orion 소프트웨어 손상과 관련된 더 많은 규칙은 FireEye 침해 and SUNBURST 백도어 분석에 헌정된 우리의 블로그 게시물에서 찾을 수 있습니다.

더 효율적인 공격 탐지를 위한 더 많은 큐레이션된 SOC 콘텐츠를 확인하려면 Threat Detection 마켓플레이스 에 무료로 구독하세요. 자신만의 Sigma 규칙을 만들어 사이버 위협 탐지 이니셔티브에 기여할 준비가 된 것 같으신가요? 우리의 Threat Bounty 프로그램에 참여하세요!