Wins Security Information

보안 동향

앞 내용 보기 다음 내용 보기
보안 동향Sunburst와 러시아 Kazuar 멀웨어 사이의 연관성을 발견한 연구원들
작성일 2021-01-15 조회 19

 

사이버 보안 연구원은 Solarwinds 해킹에 사용된 Sunburst 백도어와 기존에 알려진 악성코드 변형 사이의 연관성을 처음으로 발견했다.

 

Kaspersky 연구원들이 발표한 연구에서 이들은 Sunburst가 2017년 Palo Alto Network에 의해 문서화된 .NET 기반 악성 프로그램인 Kazuar 백도어와 겹치는 몇 가지 특징을 발견했다고 말했다

 

두 악성코드 간 공유되는 공통점으로는 C2 서버와의 연결 사이에 임의의 기간 동안 휴면 상태를 유지하기 위한 수면 알고리즘의 사용, 악성코드를 난독화하기 위한 FNV-1a 해시의 광범위한 사용, 고유한 피해자 식별자를 생성하기 위한 해싱 알고리즘 사용 등이 있다.

 

[그림 1. 두 악성코드의 수면 알고리즘]

 

Kazuar는 C2연결 사이에 2주에서 4주 사이의 수면 기간을 무작위로 선택하는 반면, Sunburst는 12일에서 14일 사이의 수면 기간을 무작위로 선택한 후 서버에 연락하여 초기 정찰을 한다. 연구원들은 여기서 수면 시간을 계산하는 데 사용되는 공식이 그대로라는 점에 주목했다.

 

Kazuar는 .NET Framework 및 C2 채널에 의존하여 공격자들이 손상된 시스템과 상호작용하고 데이터를 유출할 수 있으며 악성 명령 실행, 스크린샷 캡처, 플러그인 명령을 통한 추가 기능 배치까지 지원한다.

 

2020년 11월 18일 Kazuar는 C2서버 명령어 형태로 구현되는 백도어에 새로운 키로거와 패스워드 스틸 기능이 추가된 재설계를 거친 것으로 보인다.

 

Kaspersky 연구진은 "Kazuar와 Sunburst는 관련이 있을진지 모르지만, 이 관계는 아직 분명하지 않으며 추가 분석을 통해 다른 증거가 발견될 수 있다" 고 말했다.

 

출처

https://thehackernews.com/2021/01/researchers-find-links-between-sunburst.html

첨부파일 첨부파일이 없습니다.
태그 Sunburst  Kazuar