0xNews - 북한과 관련 깊은 라자루스 그룹 Lazarus Group 신규 랜섬웨어 Ransonware 플랫폼 발견
0xNews - 북한과 관련 깊은 라자루스 그룹 Lazarus Group 신규 랜섬웨어 Ransonware 플랫폼 발견
카스퍼스키 보안팀 발표
이번에 발견된 랜섬웨어는 다국적 기업에 침투하고 고객 데이터베이스를 도용하며 랜섬웨어를 배포하기 위한 다중 플랫폼 프레임워크로 확인
MATA 맬웨어 Malware 프레임워크로 명명
Windows, Linux, MacOS 운영체제를 대상
설치된 컴퓨터에서 MateNet 이라는 인프라를 참조하기 때문에
다양한 악의적인 활동을 수행하도록 설계된 광범위한 기능을 제공
MATA 맬웨어는 2018년 4월 최초 발견
폴란드, 독일, 터키, 한국, 일본, 인도 등에 위치한
소프트웨어 개발, 전자 상거래, 인터넷 서비스 제공 등의 업무를 수행하는 기업 대상
이번 발표는 지난 8개월 동안
Netlab 360, Jamf, Malwarebytes 등의 연구원들이 수집한 이전 증거를 바탕으로
MATA 맬웨어 프레임워크를 포괄적으로 분석
2019년 12월 라자루스 그룹이 운영하는 플랫폼과 주요 인프라를 공유하는 윈도우, 리눅스 플랫폼 등 양측 사용자를 대상으로 하는 Dacls 라는 원격 관리 트로이 RAT Remote Access Trojan 확인, 발표
Netlab 360 발표 사이트 링크
2020년 5월 트로이 목마화된 2단계 인증 2FA 앱을 통해 배포된 Dacls RAT 의 MacOS 번형 발견
Jamf 발표 사이트 링크
Malwarebytes 발표 사이트 링크
이번에 발견된 MATA 의 경우
윈도우 버전은 암호화된 다음 단계 페이로드에서 15개 추가 플러그인을 동시에 로드 후 메모리에서 실행할 수 있는 오케스트레이터 모듈 an orchestrator module lsass.exe 로드를 수행하는데 사용되는 로더 Loader 로 구성
플러그인 자체도 기능이 풍부하고 맬웨어가 파일과 시스템 프로세스를 조작하고 DLL 인젝션 수행
HTTP 프록시 서버를 생성할 수 있는 기능 포함
MATA 플러그인을 실행하면 공격자가 MinaOTP 라는 오픈소스 2FA 프로그램을 기반으로 하는 TinkaOTP 라는 2FA 앱으로 가장
라우터, 방화벽, IoT 기기, MacOS 시스템과 같은 리눅스 기반 디스크 없는 네트워크 기기를 대상으로 공격 수행
플러그인이 배포되면 공격자는 공격이 성공된 회사의 데이터베이스 확보 후 여러 DB 쿼리를 실행하여 고객 세부 정보 취득
성공 여부에 대해서는 연구팀에서는 확인을 못했지만
이를 대상으로 취합된 고객에 대해 VHD 랜섬웨어 배포 수행 확인
오케스트레이터 모듈에서 발견된 고유 파일 이름 형식 c_2910.cls 와 k_3872.cls 등
파일을 기반으로 MATA 가 이전에 발견된 Manuscrypt 악성코드 외 여러 변종에서 확인하여 라자루스 그룹과 연결됐음을 확인
미국 CISA 에서 발표한 맬웨어 분석 보고서 사이트 링크
Summary 에서 Manuscrypt 악성코드에 대한 내용 확인 가능
현재 대부분 APT 공격은 웹 스키밍 web skimming 공격 기법 추가
웹 스키밍은 악성코드가 제3자 스크립트 서비스를 손상
결제 페이지가 손상되어 공격자에게 관련 정보가 전송
미국과 유럽 등 전자 상거래 웹 사이트를 대상으로 javascript 기반 지불 스키머 배포와 설치 수행
댓글
댓글 쓰기
글과 상관없는 댓글 작성은 발견 즉시 삭제합니다.