0xNews - 최신 SolarWinds 0day 취약점을 중국 해커가 악용하여 미국 업체 공격
0xNews - 최신 SolarWinds 0day 취약점을 중국 해커가 악용하여 미국 업체 공격
MS MSTIC Microsoft Threat Intelligence Center 발표
MS 에서는 최근 패치가 적용된 RCE Remote Code Execution 익스플로잇이 적용된 SolarWinds Serv-U 관리 파일 전송 서비스를 대상으로 하는 일련의 최신 공격은 DEV-0322 이라는 이름의 중국 해커가 만든 것임을 확인
미국 텍사스에 기반을 둔 IT 모니터링 소프트웨어 제조업체가 공격자가 원격으로 권한이 있는 임의 코드를 실행하여 악성 페이로드를 설치하고 실행하거나 민감 정보를 보고 탈취나 수정, 삭제할 수 있는 취약점에 대한 수정 사항 발표 후 몇일만에 공격자 정보 확인
CVE-2021-35211 지정
RCE 취약점은 Serv-U 의 SSH 프로토콜 구현에 취약점 존재
이전에 공격 범위가 제한적이라는 것이 밝혀졌지만 SolarWinds 에서는 잠재적으로 영향을 받는 고객의 신원을 알지 못한다고 밝힘
MS MSTIC Microsoft Threat Intelligence Center 는 피해 기법, 공격 전술이나 절차를 기반으로 Development Group 0322 을 줄여서 DEV-0322 라는 곳에서 침입을 했을 가능성이 높다고 판단
이 그룹은 중국에 기반을 두고 활동
공격자 인프라에서 주요 Serv-U 프로세스에서 연계되서 사용되어 상용 VPN 솔루션과 손상된 소비자 라우터를 사용하는 것을 확인
이번 익스플로잇 공격인 중국에 기반을 둔 해킹 그룹이 기업 네트워크에 대한 표적 공격으로 SolarWinds 소프트웨어 취약점을 악용한 두 번째 사례로 기록
2020년 12월 MS 는 해커 그룹이 IT 인프라 제공업체의 Orion 소프트웨어를 이용
감염된 시스템에 Supernova 라는 영구 백도어를 삭제했을 수 있음을 확인
이후 Spiral 이라는 중국 해커 그룹이 작업을 주도한 것으로 확인
Secureworks 의 Spiral 중국 해커 그룹 정보 공개 관련 사이트 링크
https://www.secureworks.com/blog/supernova-web-shell-deployment-linked-to-spiral-threat-group
공격과 관련 추가 손상 정보에 대해 SolarWinds 의 수정된 권고 사항을 확인하고 대응해줄 것을 권고
https://www.solarwinds.com/trust-center/security-advisories/cve-2021-35211
댓글
댓글 쓰기
글과 상관없는 댓글 작성은 발견 즉시 삭제합니다.