SolarWinds 공격에 사용된 4번째 악성코드인 Raindrop 발견

 

 

Raindrop, a fourth malware employed in SolarWinds attacks

 

시만텍(Symantec)의 보안 전문가들이 SolarWinds 공급망 공격의 배후에 있는 공격자들이 측면 이동 및 추가 페이로드 배포를 위해 Raindrop이라는 악성코드를 사용한다는 사실을 발견했습니다.

 

Raindrop은 SUNSPOT 백도어, Sunburst/Solarigate 백도어, Teardrop 툴 다음으로 SolarWinds 공격을 조사하던 중 발견된 4번째 악성코드입니다.

 

Raindrop은 Cobalt Strike 페이로드를 전달하는데 사용하는 로더입니다. Raindrop은 Teardrop 툴과 유사하지만, Teardrop 툴은 Sunburst 백도어를 통해 배포된 반면 Raindrop은 피해자의 네트워크를 통해 확산되는데 사용되었습니다.

 

시만텍은 블로그를 통해 아래와 같이 밝혔습니다.

 

“시만텍은 Sunburst가 Raindrop을 직접 배포했다는 증거는 찾지 못했습니다. 대신 네트워크 내 적어도 컴퓨터 한 대는 이미 Sunburst에 감염된 것으로 보였습니다.”

 

시만텍은 Raindrop 감염 총 4건을 조사했으며, 악성코드는 선별된 극소수의 타깃을 노리는 공격의 마지막 단계에 사용되었습니다.

 

 

<이미지 출처 : https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/solarwinds-raindrop-malware>

 

 

Raindrop과 Teardrop 모두 Cobalt Strike Beacon을 배포하는데 사용되었으나, 이 둘은 다른 패커와 다른 Cobalt Strike 구성을 사용합니다.

 

“시만텍은 지금까지 Raindrop 샘플 4개를 발견했습니다. 이 중 3건의 Cobalt Strike는 통신 프로토콜로 HTTPS를 사용하도록 구성되어 있었습니다. 4번째는 통신 프로토콜로 SMB Named Pipe를 사용하도록 구성되어 있었습니다.”

 

“HTTPS 통신을 사용하는 Raindrop 샘플 3개 모두 한 Teardrop 샘플에서 발견된 구성 패턴과 매우 유사한 방식을 따랐습니다.”

 

이 두 툴의 주요 차이점은 아래와 같습니다.

 

 

	TEARDROP	RAINDROP
페이로드 포맷	PE 포맷의 기능을 재사용함 자동 변환을 통해 PE DLL로 제공되는 다양한 페이로드를 통해 패커 재사용 가능	셸코드
페이로드 임베딩	데이터 섹션 내 바이너리 BLOB	머신 코드 내 선정의된 위치에 저장되는 스테가노그라피
페이로드 암호화	롱키를 사용하여 XOR과 결합된 visualDecrypt	압축 해제 전 AES 레이어, 압축 해제 후에는 1바이트 키를 사용해 XOR 계층 분리
페이로드 압축	없음	LZMA.
난독화	JPEG 파일 읽기 정크 코드 블록이 삽입되거나 일부는 다형성 엔진을 통해 생성될 수 있음	실행을 지연시키는 동작하지 않는 코드
익스포트 네임	익스포트 네임은 다양함. 일부의 경우 Tcl/Tk 프로젝트와 겹침	Tcl/Tk 프로젝트와 겹침
훔친 코드	기존 타사 컴포넌트의 기계어 바이트 사본 원본 코드는 컴파일된 포맷으로만 배포됨	타사 소스코드를 재컴파일

 

 

 

 

 

 

출처:

https://securityaffairs.co/wordpress/113620/hacking/raindrop-solarwinds-attacks.html

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/solarwinds-raindrop-malware