보안 연구원, Sunburst와 러시아 Kazuar 악성코드 사이의 연결 고리를 확인해

사이버 보안 연구자들은 처음으로 SolarWinds 해킹에 사용된 백도어와 이전에 알려진 변종 악성코드 사이의 잠재적 연관성을 확인하고 있다.

1월 11일, 카스퍼스키 연구원이 발표한 새로운 연구에서 사이버 보안 업체는 2017년 팔로알토에서 처음으로 문서화 한 .NET 기반 악성코드인 Kazuar 라는 백도어와 겹치는 몇 가지 기능을 발견했다고 전해진다.

지난 달 초에 공개된 이 스파이 활동은 규모가 눈에 띌 정도로 확대되었다. 공격자들은 SolarWinds Orion 소프트웨어와 관련된 신뢰도를 악용해 정부 기관 및 기타 기업에 침투하여 코드명 “Sunburst”라는 사용자 지정 악성코드를 배포했다.

Sunburst와 Kazuar의 공유 기능

카스퍼스키의 Sunburst 백도어에 대한 최신 분석에 따르면 악성코드와 Kazuar 사이에 공유된 여러 기능이 밝혀져 보안 연구원들은 아래와 같은 부분을 의심하게 되었다.ㄱ

  • Sunburst와 Kazuar는 모두 동일한 위협 그룹에서 개발되었다.
  • Sunburst 배후 공격자들은 Kazuar에서 영감을 받았다.
  • Kazuar(Turla) 및 Sunburst (UNC2452 또는 Dark Halo) 뒤에 있는 그룹은 단일 소스를 통해 악성코드를 확보했다.
  • Kazuar 개발자는 다른 팀의 툴을 가져오고 Sunburst 개발자는 의도적으로 다른 링크를 거짓 식별하도록 유도했다.

두 악성코드 간 공유되는 공통점에는 C2 서버를 연결할 때 일정 기간 동안 휴면 상태를 유지하기 위한 알고리즘 사용, 악성코드를 난독화 하기 위한 FNV-1a 해시의 광범위한 사용 등이 포함된다.

보안 연구원, Sunburst와 러시아 Kazuar 악성코드 사이의 연결 고리를 확인해

[출처 : 해커뉴스 / 1.11.]