Offcanvas

APT29

솔라윈즈 악용 해킹 당했던 MS, "개발 코드 열람만 있었다"

마이크로소프트(MS)는 지난해 자사 내부 계정을 해킹한 공격자가 MS의 내부 소스 코드를 건드리지는 않았다고 블로그를 통해 밝혔다. 이 공격자는 IT 모니터링 솔루션 업체 ‘솔라윈즈’의 플랫폼을 활용해 지난해 미 정부 기관과 MS 등 주요 기업들을 해킹한 바 있다.    MS는 블로그를 통해 “내부 계정을 이용한 비정상적인 활동이 감지됐으며, 검토 결과 계정 중 하나가 여러 소스 코드 저장소의 오픈소스 코드를 보는 데 사용됐다”라며 “해당 계정은 코드를 수정하거나 엔지니어링 시스템을 변경할 권한이 없어 코드 변경은 이뤄지지 않았다”라고 밝혔다.  MS는 개발용 오픈소스 코드를 내부 구성원끼리 공유한다. 이 오픈소스 코드는 내부 계정을 통해 접근할 수 있으며, 누군가가 이를 열람한다고 해서 MS의 제품에 보안 위협을 끼칠 수 있는 것은 아니라고 MS 측은 밝혔다.  이어 MS는 “자체 조사 결과 서비스나 고객 데이터에 (해커가) 접근한 흔적은 찾지 못했으며 MS의 시스템이 다른 기업을 공격하는 데 사용되었다는 흔적 또한 발견되지 않았다”라며 "악성 애플리케이션은 분리 및 제거했다"라고 설명했다.  지난해 12월 주요 외신을 통해 보도된 이 해킹은 미 재무부와 상무부 등의 정부 기관은 물론 미 10대 통신사, 전 세계 각국 기업 등 총 1만 8,000여 곳을 대상으로 이뤄진 것으로 추정되고 있다.  해커는 솔라윈즈(SolarWinds)의 모니터링 솔루션인 ‘오리온 플랫폼’의 업데이트 파일에 솔로리게이트(Solorigate)라는 맬웨어를 심어 솔라윈즈의 고객사에 배포하는 방식으로 공격을 감행한 것으로 알려져 있다. 미 정부 당국은 아직 이 해킹의 주체를 구체적으로 특정하지는 않았지만, 업계에서는 러시아 정부의 지원을 받는 해킹조직 APT 29가 해킹의 배후에 있을 것이라고 보고 있다. ciokr@idg.co.kr

마이크로소프트 솔라윈즈 오리온 소스코드 APT29

2021.01.04

마이크로소프트(MS)는 지난해 자사 내부 계정을 해킹한 공격자가 MS의 내부 소스 코드를 건드리지는 않았다고 블로그를 통해 밝혔다. 이 공격자는 IT 모니터링 솔루션 업체 ‘솔라윈즈’의 플랫폼을 활용해 지난해 미 정부 기관과 MS 등 주요 기업들을 해킹한 바 있다.    MS는 블로그를 통해 “내부 계정을 이용한 비정상적인 활동이 감지됐으며, 검토 결과 계정 중 하나가 여러 소스 코드 저장소의 오픈소스 코드를 보는 데 사용됐다”라며 “해당 계정은 코드를 수정하거나 엔지니어링 시스템을 변경할 권한이 없어 코드 변경은 이뤄지지 않았다”라고 밝혔다.  MS는 개발용 오픈소스 코드를 내부 구성원끼리 공유한다. 이 오픈소스 코드는 내부 계정을 통해 접근할 수 있으며, 누군가가 이를 열람한다고 해서 MS의 제품에 보안 위협을 끼칠 수 있는 것은 아니라고 MS 측은 밝혔다.  이어 MS는 “자체 조사 결과 서비스나 고객 데이터에 (해커가) 접근한 흔적은 찾지 못했으며 MS의 시스템이 다른 기업을 공격하는 데 사용되었다는 흔적 또한 발견되지 않았다”라며 "악성 애플리케이션은 분리 및 제거했다"라고 설명했다.  지난해 12월 주요 외신을 통해 보도된 이 해킹은 미 재무부와 상무부 등의 정부 기관은 물론 미 10대 통신사, 전 세계 각국 기업 등 총 1만 8,000여 곳을 대상으로 이뤄진 것으로 추정되고 있다.  해커는 솔라윈즈(SolarWinds)의 모니터링 솔루션인 ‘오리온 플랫폼’의 업데이트 파일에 솔로리게이트(Solorigate)라는 맬웨어를 심어 솔라윈즈의 고객사에 배포하는 방식으로 공격을 감행한 것으로 알려져 있다. 미 정부 당국은 아직 이 해킹의 주체를 구체적으로 특정하지는 않았지만, 업계에서는 러시아 정부의 지원을 받는 해킹조직 APT 29가 해킹의 배후에 있을 것이라고 보고 있다. ciokr@idg.co.kr

2021.01.04

파이어아이, "APT29의 소행으로 의심되는 피싱 캠페인 확인"

파이어아이가 지난 11월 14일, 다양한 업종의 고객 가운데 스무 곳 이상에서 새로운 피싱 활동을 감지했다고 발표했다. 이번 공격자는 특정 병원의 이메일 서버와 특정 컨설팅 업체의 웹사이트를 해킹해 이들의 인프라를 이용해 피싱 이메일을 전송한 것으로 보인다. 해당 피싱 이메일은 미 국무성의 공보 담당자가 보낸 보안 커뮤니케이션인 것처럼 보이도록 조작됐다. 또한 다른 미 국무성 공보 담당자의 개인용 드라이브처럼 위장된 페이지에서 호스팅이 이뤄졌으며 미 국무성의 공식 양식이 사용됐다. 이러한 정보는 공개적으로 이용할 수 있는 자료를 통해 습득이 가능한 것으로, 미 국무성 네트워크가 이번 피싱 캠페인에 관여되었다는 징후는 없다. 공격 단체는 피싱 이메일마다 고유 링크를 사용했으며, 파이어아이가 파악한 해당 링크는 하나의 압축(ZIP) 파일을 다운로드 하도록 사용됐다. 해당 파일에는 공격용으로 조작된 윈도우용 바로가기 파일이 포함되어 있어 평범한 유인용 문서와 공격 단체가 정상적인 네트워크 트래픽 내에 숨어들 수 있도록 맞춤 구성된 코발트 스트라이크 비컨 백도어를 동시에 호출한다. 해당 피싱 이메일과 네트워크 인프라에 투입된 리소스, 공격용으로 조작된 바로가기 파일 페이로드(payload)의 메타데이터(metadata), 공격 대상이 된 개인 및 기관 등 이번 피싱 캠페인에서 발견된 몇 요소들은 2016년 11월에 마지막으로 관찰된 APT29의 피싱 캠페인과 직접적으로 연결된다. 2018년 11월 14일에 발생한 피싱 캠페인과 APT29의 소행으로 의심되는 2016년 11월 9일의 피싱 캠페인 간에는 모두 미국 선거 직후에 벌어졌다는 점 외에도 몇 유사성과 기술적으로 중첩되는 사항이 존재한다고 업체 측은 설명했다. 그러나, 최근 피싱 캠페인에는 동일한 시스템을 이용해 윈도우용 바로가기(LNK) 파일을 공격용으로 조작하는 등, 기존 피싱 TTP를 고의적으로 재사용한 것만큼 특이하고 새로운 요소도 포함돼 있다고 덧붙였다. APT29는 상당히 정...

파이어아이 APT29

2018.11.22

파이어아이가 지난 11월 14일, 다양한 업종의 고객 가운데 스무 곳 이상에서 새로운 피싱 활동을 감지했다고 발표했다. 이번 공격자는 특정 병원의 이메일 서버와 특정 컨설팅 업체의 웹사이트를 해킹해 이들의 인프라를 이용해 피싱 이메일을 전송한 것으로 보인다. 해당 피싱 이메일은 미 국무성의 공보 담당자가 보낸 보안 커뮤니케이션인 것처럼 보이도록 조작됐다. 또한 다른 미 국무성 공보 담당자의 개인용 드라이브처럼 위장된 페이지에서 호스팅이 이뤄졌으며 미 국무성의 공식 양식이 사용됐다. 이러한 정보는 공개적으로 이용할 수 있는 자료를 통해 습득이 가능한 것으로, 미 국무성 네트워크가 이번 피싱 캠페인에 관여되었다는 징후는 없다. 공격 단체는 피싱 이메일마다 고유 링크를 사용했으며, 파이어아이가 파악한 해당 링크는 하나의 압축(ZIP) 파일을 다운로드 하도록 사용됐다. 해당 파일에는 공격용으로 조작된 윈도우용 바로가기 파일이 포함되어 있어 평범한 유인용 문서와 공격 단체가 정상적인 네트워크 트래픽 내에 숨어들 수 있도록 맞춤 구성된 코발트 스트라이크 비컨 백도어를 동시에 호출한다. 해당 피싱 이메일과 네트워크 인프라에 투입된 리소스, 공격용으로 조작된 바로가기 파일 페이로드(payload)의 메타데이터(metadata), 공격 대상이 된 개인 및 기관 등 이번 피싱 캠페인에서 발견된 몇 요소들은 2016년 11월에 마지막으로 관찰된 APT29의 피싱 캠페인과 직접적으로 연결된다. 2018년 11월 14일에 발생한 피싱 캠페인과 APT29의 소행으로 의심되는 2016년 11월 9일의 피싱 캠페인 간에는 모두 미국 선거 직후에 벌어졌다는 점 외에도 몇 유사성과 기술적으로 중첩되는 사항이 존재한다고 업체 측은 설명했다. 그러나, 최근 피싱 캠페인에는 동일한 시스템을 이용해 윈도우용 바로가기(LNK) 파일을 공격용으로 조작하는 등, 기존 피싱 TTP를 고의적으로 재사용한 것만큼 특이하고 새로운 요소도 포함돼 있다고 덧붙였다. APT29는 상당히 정...

2018.11.22

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.8