0xNews - Pulse Secure VPN 을 악용하여 SuperNova 맬웨어 배포 APT 경고
0xNews - Pulse Secure VPN 을 악용하여 SuperNova 맬웨어 배포 APT 경고
미국 CISA Cybersecurity and Infrastructure Security Agency 발표
https://us-cert.cisa.gov/ncas/analysis-reports/ar21-112a
Pulse Secure VPN 기기에 대한 연결을 통해 네트워크에 접속 후 SuperNova 맬웨어 배포에 활용
SolarWinds Orion 설비에 손상을 주는 새로운 APT Advanced Persistent Threat 공격 경고
Pulse Secure VPN appliance 를 통해 각기 독립된 네트워크에 연결된 위협 행위자는 SolarWinds Orion 서버로 사이드로 이동
SuperNova 맬웨어 .NET 웹쉘을 설치하고 자격 증명 수집
정보 분석 결과 사고 대응 중 특이 사항을 확인하여 위협 행위자를 식별
공격자는 2020년 3월부터 2021년 2월까지 VPN 자격 증명을 사용하여 거의 1년여 동안 기업 네트워크에 접속했음을 확인
이 중 흥미로운 점은 취약점을 악용하여 공격하는 대신 MFA Multi-Factor Authentication 가 활성화된 유효한 계정을 사용
VPN 에 연결하여 정상적인 재택 근무 인원으로 위장하여 활동하였음을 확인
2020년 12월 MS 에서는 IT 인프라 제공업체의 Orion 소프트웨어를 악용하여 대상 시스템에 SuperNova 백도어 확인 후 삭제했음을 발표
정보 분석 결과 해당 공격은 Spiral 이라는 해커 그룹으로 추가 조사 결과 중국 관련 조직임을 확인
Spiral 위협 조직에 대한 분석 사이트 링크
https://www.secureworks.com/blog/supernova-web-shell-deployment-linked-to-spiral-threat-group
SuperNova 는 SolarWinds Orion 응용 프로그램의 app_web_logoimagehandler.ashx.b6031896.dll 모듈 수정하여 구현된 .NET 웹쉘
CVS-2020-10148 로 지정
Orion API 인증 우회 취약점을 활용하여 수정이 가능
원격 공격자가 인증되지 않은 API 명령을 실행 가능
CVS-2020-10148 취약점 분석에 대한 사이트 링크
https://www.kb.cert.org/vuls/id/843464
이번 맬웨어 배포는 계속 추가 조사가 진행 중
미국 CISA 에서는 다음 사항을 권장
조직에서 권한 있는 계정에 대해 MFA 구현과 사용
방화벽을 통해 원치 않은 연결 요청 필터링
강력한 암호 정책 수립과 시행
RDP Remote Desktop Protocol 과 기타 원격 접속 솔루션을 보호할 것
댓글
댓글 쓰기
글과 상관없는 댓글 작성은 발견 즉시 삭제합니다.