공급망 공격 유행시킨 솔라윈즈 해커들, 새 백도어 들고 나타나

요약 : 보안 외신 핵리드에 의하면 솔라윈즈(SolarWinds) 사태를 일으켰던 해킹 그룹이 최근 새로운 포스트익스플로잇 무기를 사용하기 시작했다고 한다. 일종의 백도어로, 이름은 매직웹(MagicWeb)이다. MS가 매직웹을 발견해 분석했으며, 주로 기업 네트워크에 심어두는 것으로 밝혀졌다. 여러 가지 고급 기능이 탑재되어 있는데, 특히 중요한 건 방어자가 이를 알아내고 삭제하려 해도 잘 되지 않는다는 것이다. 관리자의 크리덴셜을 남용하는 수법으로 매직웹을 심는 것으로 분석됐다. 


배경 : 솔라윈즈 해커란 APT29를 말한다. 업체에 따라 노벨륨(Nobelium), 코지베어(Cozy Bear), 듀크스(Dukes)로 부르기도 한다. 솔라윈즈 사태 때 공급망 공격을 한 것으로 큰 파장을 일으켰으며, 그 때부터 해커들 사이에서 공급망 공격이 대세로 자리를 잡았다.

말말말 : “공격자들은 관리자 크리덴셜을 먼저 확보해 침투한 후 정상적인 DLL 파일을 자신들의 악성 DLL 파일로 교체합니다. 공급망 공격이 아닌, 비교적 일반적인 방법으로 공격을 감행 중에 있습니다.” -마이크로소프트-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>