0xNews - 방위 업체를 표적으로 하는 북한 공격 정보 공개
0xNews - 방위 업체를 표적으로 하는 북한 공격 정보 공개 Kaspersky 의 securelist 발표 https://securelist.com/lazarus-threatneedle/100803/ 북한의 지원을 받는 라자루스 그룹에서 전략적으로 방위 기업 조직에서 민감 정보를 유출하기 위한 새로운 공격 활동 정보 확인 라자루스 그룹 정보 모음 https://malpedia.caad.fkie.fraunhofer.de/actor/lazarus_group ThreatNeedle 라는 도구를 활용 높은 수준에서 이루어지는 이번 공격 캠페인은 세밀하게 만들어진 스피어 피싱 공격으로 시작 다단계 접근 방식을 활용하여 결과적으로 기기에 대한 원격 접속과 제어권을 탈취 초기 감염의 주요 타겟은 MS Word 첨부 파일이 포함된 COVID 테마 이메일을 통해 감염 수행 악성코드가 포함된 메크로 실행 이 메크로는 첨부 파일을 열면 시스템 감염 후 추가 페이로드 다운로드 실시 이후 멀웨어는 초기 정찰, 탐지 정보 제공 MS 윈도우 백도어 내부에 악성 기능 설치 데이터 유출을 위한 맬웨어 배포하며 작동 이 ThreatNeedle 가 설치되면 피해자의 기기에 대한 완전한 제어권이 넘어감 시스템 내 파일 조작에서 수신된 명령 실행에 이르기까지 모든 작업 수행 가능 ThreatNeedle 와 Manuscrypt 라는 또 다른 악성 코드가 추가로 발견 Manuscrypt 는 암호화폐나 모바일 게임 관련 정보 유출을 위한 이전 공격 캠페인에서 라자루스 그룹에서 사용한 적이 있음 추가적으로 AppleJeus, DeathNote, Bookcode 와 같은 다른 라자루스 클러스터와 연결된 것을 확인 Manuscrypt 는 지난 달 라자루스 그룹에서 배포된 점을 확인 이 작업은 취약점 연구에 협력할 수 있는 기회를 가진 보안 커뮤니티를 대상 연구원들이 개발한 잠재적인 취약점에 대해 개발한 익스플로잇을 도용할 수 있는 악성 코드로 피해자를 감염시키기 위함 이렇게 함으로써 연구원이 선택하고 연