Home > 전체기사

까고 까도 끝이 없는 솔라윈즈 사태, 새 멀웨어 3종 추가로 발견돼

  |  입력 : 2021-03-05 14:50
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
MS와 파이어아이가 각각 보고서를 통해 솔라윈즈 공격자들이 사용한 것으로 보이는 새로운 멀웨어를 공개했다. 합쳐서 총 3종이다. 백도어도 있고, 연락용도 있으며, 공격 지속성을 확보하기 위한 것도 있다. 전부 맞춤형으로 제작돼 피해자들에 따라 공격자들이 유연하고 정교하게 움직였다는 것을 보여준다.

[보안뉴스 문가용 기자] 솔라윈즈(SolarWinds)에 대한 또 다른 사실이 공개됐다. 마이크로소프트와 파이어아이가 각각 보고서를 통해 공격자들이 사용했던 멀웨어가 더 있었음을 발표한 것이다. 이 보고서에 의하면 솔라윈즈 사태를 일으킨 공격자들은 기존에 발견됐던 멀웨어들 외에 세 개의 멀웨어들을 더 사용해 피해자들을 염탐하고 정보를 빼냈다고 한다.

[이미지 = utoimage]


마이크로소프트에 의하면 이 세 가지 멀웨어들은 침투 후 사용하는 도구들로, 피해자의 네트워크에 자유롭게 드나들 수 있다는 판단이 섰을 때부터 공격자들이 활용하기 시작했다고 한다. 이 세 가지 도구에는 다음과 같은 이름이 붙었다.
1) 골드맥스(GoldMax) : C&C 백도어
2) 시봇(Sibot) : 침해된 네트워크에서 공격 지속성 확보
3) 골드파인더(GoldFinder) : 패킷이 C&C 서버에 도달할 수 있도록 라우팅

이 도구들 전부 맞춤형 공격을 위해 제작된 것이라고 MS는 설명했다. 즉 피해자에 따라 유연하게 공격의 수위와 형태를 조절했다는 것이다. 이는 지난 조사에서도 지적되었던 부분이다. 그래서 공격자들의 수준이 대단히 높은 것으로 추측이 되었다. 파이어아이의 보고서에도 골드맥스 멀웨어에 대한 추가 발견 소식이 포함되어 있다. 다만 파이어아이는 골드맥스를 선셔틀(SunShuttle)이라고 부른다.

마이크로소프트가 이러한 도구들을 찾아낸 곳은 공격자들이 감염시킨 솔라윈즈의 업그레이드 파일을 받거나 그 외 다른 방법으로 공격자들의 침투를 허용한 조직의 네트워크에서였다. 타임스탬프를 추적했을 때, 오래된 건 2020년 6월에도 활동을 했던 것으로 밝혀졌다. 솔라윈즈 사태가 대대적으로 공개된 것이 2020년 12월이니 공격은 꽤나 오랜 기간 적발되지 않은 채 진행되고 있었다고 볼 수 있다.

“이번에 발견된 도구들은 여타 다른 공격 캠페인에서 발견할 수 없었던 것입니다. 이번 공격을 감행한 단체들만 사용했다는 것이죠. 게다가 피해자의 네트워크 상황과 특성에 맞게 맞춤형으로 개발된 것으로, 공격자들이 피해자들에 대한 조사를 사전에 꽤나 잘 했다는 것을 보여줍니다. 공격자들이 1단계 침투에 성공하고, 횡적으로 움직이는 데에까지 공격을 진행시킨 뒤 이 도구들을 사용한 것으로 보입니다.” MS의 설명이다.

현재 MS는 이 공격자들에 노벨륨(Nobelium)이라는 이름을 붙여놓은 상태다. 하지만 파이어아이의 경우에는 사건 초기부터 UNC2542라고 이들을 지칭하고 있다. 같은 그룹을 놓고 보안 업체나 조직들마다 다른 이름을 붙이는 건 흔히 있는 일이다.

한편 파이어아이는 미국의 한 단체가 공공 멀웨어 리포지터리에 선셔틀 혹은 골드맥스를 업로드 하면서 이 멀웨어에 주목하기 시작했다. “누군가 멀웨어 리포지터리에 선셔틀을 업로드 했어요. 메타데이터를 분석했을 때 그 누군가는 미국에 거주 중인 것 같습니다. 그것 외에는 업로드한 인물에 대해서 알 수 있는 것들이 없는 상태입니다.” 파이어아이의 수석 관리 분석가인 벤 리드(Ben Read)의 설명이다.

마이크로소프트의 분석에 의하면 골드맥스(혹은 선셔틀)는 고 언어로 만들어졌고, C&C 통신을 암호화 하는 기능을 가지고 있다고 한다. 솔라윈즈 사태 때 사용된 다른 모든 멀웨어와 마찬가지로 스스로를 숨기는 기능을, 탐지 회피 기능 등을 포함하고 있기도 하다. 특히 미끼 트래픽을 발생시킴으로써 실제 악성 행위로 발생하는 트래픽이 정상처럼 보이도록 만드는 기술도 탑재되어 있다. 파이어아이는 선셔틀(혹은 골드맥스)이 수준이 높은 고급 백도어라고 하며, 꽤나 정교하게 다듬어진 탐지 회피 기능을 가지고 있다고 설명했다.

시봇은 2중 기능을 가지고 있는 멀웨어로, VB스크립트로 구축되며, 공격자들이 지속적으로 피해자를 염탐하거나 피해자의 네트워크에 접속할 수 있도록 해 준다. 즉 공격 지속성을 확보하는 것이 시봇의 주요 기능이라는 것이다. 그 외에는 C&C 서버로부터 페이로드를 다운로드 받아 실행시키는 기능도 탑재되어 있다. 특이할 만한 건, 시봇에 세 가지 버전이 존재한다는 것이다. 세 가지 모두 기능 면에서 조금씩 다르다고 한다.

골드파인더도 골드맥스와 마찬가지로 고 언어로 작성되어 있으며, HTTP 추적 기능을 통해 공격자의 악성 행위가 어느 시점에 발견되었는지를 공격자들에게 알려주는 역할을 담당하는 것처럼 보인다고 MS는 보고서를 통해 밝혔다.

3줄 요약
1. 솔라윈즈 사태 일으킨 공격자들이 사용한 것으로 보이는 멀웨어, 3개 더 발견.
2. 네트워크에 침투한 후에 사용하는 도구들로, 피해자에 따라 맞춤형으로 제작됨.
3. 솔라윈즈 사태, 파면 팔수록 새로운 게 계속 나오는 상태.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
과기정통부가 발표한 ‘K-사이버방역 추진전략’ 8대 과제 가운데 가장 시급하고 중요하게 해결해야 할 과제는?
사이버보안 대응체계 고도화
수요자 중심 디지털보안 역량 강화
차세대 융합보안 기반 확충
신종 보안위협 및 AI 기반 대응 강화
디지털보안 핵심기술 역량 확보
정보보호산업 성장 지원 강화
디지털보안 혁신인재 양성
디지털보안 법제도 정비