상세 컨텐츠

본문 제목

SolarWinds, SUPERNOVA 악성코드용 권고 업데이트해

국내외 보안동향

by 알약4 2020. 12. 28. 09:00

본문

 

 

SolarWinds releases updated advisory for new SUPERNOVA malware

 

SolarWinds에서 회사의 네트워크 관리 플랫폼을 통해 배포된 Supernova 악성코드에 대한 권고를 업데이트했습니다.

 

이달 초, SolarWinds가 사이버 공격을 받아 공격자가 정식 SolarWinds Orion SolarWinds.Orion.Core.BusinessLayer.dll 파일을 수정해 악성 SunBurst 백도어 악성코드를 포함시킨 것으로 나타났습니다.

 

이 파일은 자동 업데이트 기능을 악용한 공급망 공격을 통해 SolarWinds 고객에게 배포되었습니다.

 

Palo Alto Unit 42와 Microsoft는 SolarWinds 해킹 사고를 분석한 후, 양쪽 모두 App_Web_logoimagehandler.ashx.b6031896.dll 파일을 통해 Supernova가 배포되고 있다고 보고했습니다.

 

이 악성코드는 해커가 악성코드가 피해자의 기기에서 컴파일 및 실행할 C# 코드를 원격으로 보낼 수 있도록 허용합니다.

 

 

<이미지 출처 : https://unit42.paloaltonetworks.com/solarstorm-supernova/>

<실행파일을 컴파일하는 SuperNova 코드>

 

 

Microsoft와 Palo Alto 모두 이 추가 악성코드가 SolarWinds의 초기 공급망 공격 진행 중 SunBurst 트로이목마를 배포한 그룹과 관련이 없을 것이라 추측했습니다.

 

SolarWinds, 업데이트한 권고 공개

 

지난 목요일, SolarWinds는 Supernova 악성코드에 대한 정보와 SolarWinds Orion 네트워크 관리 플랫폼이 이를 배포한 방식에 대해 설명하는 업데이트된 권고문을 공개했습니다.

 

SolarWinds는 업데이트된 권고를 통해 아래와 같이 밝혔습니다.

 

“SUPERNOVA 악성코드는 두 컴포넌트로 구성되어 있었습니다. 첫 번째는 SolarWinds Orion 플랫폼에서 사용되도록 작성된 서명되지 않은 악성 웹셸 DLL 파일인 'app_web_logoimagehandler.ashx.b6031896.dll'이었습니다.”

“두 번째는 악성코드를 배포하기 위해 Orion 플랫폼의 취약점을 활용합니다. Orion 플랫폼에 존재하는 이 취약점은 최신 업데이트를 통해 수정되었습니다.”

 

SolarWinds는 Sunburst 취약점 뿐만 아니라 Supernova 악성코드로부터 시스템을 보호하기 위해 모든 Orion 플랫폼 고객에게 최신 버전으로 업데이트할 것을 권고했습니다.

 

현재 제공되는 Orion 플랫폼용 업데이트 버전은 아래와 같습니다.

 

- 2019.4 HF 6 (2020/12/14 공개)
- 2020.2.1 HF 2 (2020/12/15 공개)
- 2019.2 SUPERNOVA 패치 (2020/12/23 공개)
- 2018.4 SUPERNOVA 패치 (2020/12/23 공개)
- 2018.2 SUPERNOVA 패치 (2020/12/23 공개)

 

이미 2020.2.1 HF 2 또는 2019.4 HF 6 버전으로 업데이트한 고객은 Sunburst와 Supernova 취약점이 모두 수정된 상태이기 때문에 추가 조치는 필요하지 않습니다.

 

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/solarwinds-releases-updated-advisory-for-new-supernova-malware/

https://www.solarwinds.com/securityadvisory

관련글 더보기

댓글 영역