마이크로소프트는 지난해 12월에 발견된 솔라윈즈 소프트웨어 공급망 공격 배후에 있는 공격자가 사용하는 또 다른 맬웨어를 발견했다고 최근 밝혔다.

Nobelium이라고 부르는 공격 그룹에서 사용하는 수많은 모듈을 발견한 것이다.

미국과 영국은 지난 4월 APT29, 코지 베어, 더 듀크스로도 알려진 러시아 해외 정보국(SVR)의 해킹 부서를 공식적으로 지목했다.

3월에 마이크로소프트는 Sunburst/Solarigate, Teardrop 및 Sunspot을 비롯한 그룹의 다른 맬웨어를 기반으로 하는 노벨리움의 GoldMax, GoldFinder 및 Sibot 구성 요소를 발견했다.

마이크로소프트 위협 인텔리전스 센터 관계자는 "Nobelium은 FoggyWeb을 사용해 손상된 AD FS 서버, 암호 해독된 토큰 서명 인증서 및 토큰 암호 해독 인증서의 구성 데이터베이스를 원격으로 추출하고 추가 구성 요소를 다운로드 및 실행한다”며 “FoggyWeb은 손상된 AD FS 서버에서 원격으로 중요한 정보를 추출할 수 있는 고도로 표적화된 수동형 백도어다. 또한 C2(명령 및 제어) 서버에서 추가 악성 구성 요소를 수신하여 손상된 서버에서 실행할 수 있다”라고 설명했다.

마이크로소프트는 5월에 EnvyScout, BoomBox, NativeZone 및 VaporRage를 포함한 더 많은 Noeblium 감염 도구와 합법적인 미국 이메일 마케팅 서비스를 지원하는 스피어 피싱 캠페인을 발견했다

★정보보안 대표 미디어 데일리시큐!★