SUPERNOVA 백도어: 두 번째 APT 그룹이 SolarWinds 취약점을 악용하여 웹 셸 멀웨어를 배포하다

최신 위협

12월 28, 2020

3 분 읽기

SUPERNOVA 백도어: 두 번째 APT 그룹이 SolarWinds 취약점을 악용하여 웹 셸 멀웨어를 배포하다

Eugene Tkachenko
Eugene Tkachenko 커뮤니티 프로그램 리드

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon
목차

주간 요약 구독하기

SOC Prime 사용자에게만 독점 제공

Newsletter Icon

획기적인 SolarWinds 공급망 공격과 관련된 새로운 세부사항이 밝혀졌습니다. 연구 Microsoft의 연구에 따르면 또 다른 독립적인 APT 그룹이 SolarWinds Orion 손상에 관여했을 가능성이 있습니다. 특히, 사이버 범죄자들은 새롭게 발견된 제로데이 버그를 이용하여 목표로 한 인스턴스에 SUPERNOVA 백도어를 감염시켰습니다.

SolarWinds Orion 소프트웨어의 새로운 ZeroDay 취약점 (CVE-2020-10148)

해당 취약점은 2020년 12월 25일에 전용 CERT 협력 센터 자문서에서 공개되었습니다. 연구원들은 이것이 API 명령을 원격에서 실행하고 SUPERNOVA 백도어를 배포하기 위해 사용된 인증 우회 문제 (CVE-2020-10148)라고 밝힙니다. 이 취약점은 SolarWinds 서버에 URL 요청의 Request.PathInfo 부분에 특별한 매개변수를 추가하여 API 인증을 우회할 수 있도록 합니다. 이를 통해, 권한이 없는 해커가 SkipAuthorization 플래그를 설정하고 API 요청 처리를 시작할 수 있습니다..

SUPERNOVA 백도어 기술 개요

Unit 42 분석가들은 증거를 제공합니다 SUPERNOVA 백도어가 정찰 및 횡적 이동을 목표로 복잡한 .NET 프로그램을 배포할 수 있는 고도로 정교하고 은밀한 .NET 웹 쉘 멀웨어라는 증거를 제공합니다. 이 멀웨어는 합법적인 .NET 라이브러리 “app_web_logoimagehandler.ashx.b6031896.dll.”을 수정하여 SolarWinds Orion 시스템에 삽입되었습니다. 실제로, 정품 DLL에 네 가지 추가 매개변수(codes, clazz, method, args)가 추가되었습니다. 이러한 사소한 추가사항은 공격자들이 서버에서 임의의 명령을 보내고 서버 사용자 권한으로 메모리 내에서 실행할 수 있도록 했습니다. 

SUPERNOVA는 DynamicRun 메서드를 사용하여 언급된 네 가지 매개변수를 실시간으로 .NET 어셈블리로 컴파일하고 Orion 호스트에서 실행합니다. 이러한 접근 방식은 악성 아티팩트가 디스크에 기록되지 않기 때문에 탐지를 회피할 수 있게 합니다. 

특히, 분석가들은 SUPERNOVA 웹 쉘이 SUNBURST 해커와 관련이 없는 다른 APT 그룹에 의해 심어진 것이라 믿고 있습니다. 이러한 가정은 트로이 목마화된 .NET DLL이 디지털 서명을 가지고 있지 않다는 점에서 뒷받침됩니다.

공격 탐지 및 완화 조치

새로운 SolarWinds 제로데이 버그는 2020년 12월 23일에 해결되었으므로 사용자는 소프트웨어를 안전한 버전으로 업그레이드할 것을 권장합니다. 업그레이드가 불가능한 경우, 관련 완화 단계를 더 알아보기 위해 Solarwinds 보안 자문 을 확인하세요.

또한, 2020년 12월 14일부터 SOC Prime 팀이 개발하여 Threat Detection 마켓플레이스에서 제공 중인 Sigma 규칙을 적용하여 SUPERNOVA 백도어를 사전에 탐지할 수 있습니다: 

https://tdm.socprime.com/tdm/info/QSO2ai3DAIUw/3WLCX3YBTwmKwLA9I6bl/

이 규칙은 다음 플랫폼에 대한 번역을 가지고 있습니다: 

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio

EDR: Carbon Black

NTA: Corelight

MITRE ATT&CK: 

전술: 초기 접근

기술: 공급망 공격 (T1195)

Threat Detection 마켓플레이스에 대한 유료 액세스가 없는 경우, SUPERNOVA 웹 쉘과 관련된 Sigma 규칙을 잠금 해제하기 위해 커뮤니티 구독으로 무료 체험을 활성화할 수 있습니다. SolarWinds Orion 소프트웨어 손상과 관련된 더 많은 규칙은 FireEye 침해 and SUNBURST 백도어 분석에 헌정된 우리의 블로그 게시물에서 찾을 수 있습니다.

더 효율적인 공격 탐지를 위한 더 많은 큐레이션된 SOC 콘텐츠를 확인하려면 Threat Detection 마켓플레이스 에 무료로 구독하세요. 자신만의 Sigma 규칙을 만들어 사이버 위협 탐지 이니셔티브에 기여할 준비가 된 것 같으신가요? 우리의 Threat Bounty 프로그램에 참여하세요! 

SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀사의 비즈니스에 가장 중요한 위협에 대한 가시성을 개선하세요. 시작을 돕고 즉각적인 가치를 제공하기 위해 지금 SOC Prime 전문가와의 회의를 예약하세요.
무료 가입 회의 예약

More 최신 위협 Articles

XE 그룹 활동 탐지: 신용카드 스키밍에서 CVE-2024-57968 및 CVE-2025-25181 VeraCore 제로데이 취약점 악용까지 3 분 읽기 최신 위협 XE 그룹 활동 탐지: 신용카드 스키밍에서 CVE-2024-57968 및 CVE-2025-25181 VeraCore 제로데이 취약점 악용까지 by Veronika Zahorulko CVE-2025-0411 탐지: 러시아 사이버 범죄 조직, 우크라이나 조직을 표적으로 삼아 7-Zip의 제로데이 취약점 악용 4 분 읽기 최신 위협 CVE-2025-0411 탐지: 러시아 사이버 범죄 조직, 우크라이나 조직을 표적으로 삼아 7-Zip의 제로데이 취약점 악용 by Veronika Zahorulko Lumma Stealer 탐지: GitHub 인프라를 활용한 SectopRAT, Vidar, Cobeacon 및 기타 유형의 멀웨어 전파 정교한 캠페인 3 분 읽기 최신 위협 Lumma Stealer 탐지: GitHub 인프라를 활용한 SectopRAT, Vidar, Cobeacon 및 기타 유형의 멀웨어 전파 정교한 캠페인 by Veronika Zahorulko