0xNews - 방위 업체를 표적으로 하는 북한 공격 정보 공개

Kaspersky 의 securelist 발표

북한의 지원을 받는 라자루스 그룹에서 전략적으로 방위 기업 조직에서 민감 정보를 유출하기 위한 새로운 공격 활동 정보 확인

라자루스 그룹 정보 모음

ThreatNeedle 라는 도구를 활용

높은 수준에서 이루어지는 이번 공격 캠페인은 세밀하게 만들어진 스피어 피싱 공격으로 시작

다단계 접근 방식을 활용하여 결과적으로 기기에 대한 원격 접속과 제어권을 탈취

초기 감염의 주요 타겟은 MS Word 첨부 파일이 포함된 COVID 테마 이메일을 통해 감염 수행

악성코드가 포함된 메크로 실행

이 메크로는 첨부 파일을 열면 시스템 감염 후 추가 페이로드 다운로드 실시

이후 멀웨어는 초기 정찰, 탐지 정보 제공

MS 윈도우 백도어 내부에 악성 기능 설치

데이터 유출을 위한 맬웨어 배포하며 작동

이 ThreatNeedle 가 설치되면 피해자의 기기에 대한 완전한 제어권이 넘어감

시스템 내 파일 조작에서 수신된 명령 실행에 이르기까지 모든 작업 수행 가능

ThreatNeedle 와 Manuscrypt 라는 또 다른 악성 코드가 추가로 발견

Manuscrypt 는 암호화폐나 모바일 게임 관련 정보 유출을 위한 이전 공격 캠페인에서 라자루스 그룹에서 사용한 적이 있음

추가적으로 AppleJeus, DeathNote, Bookcode 와 같은 다른 라자루스 클러스터와 연결된 것을 확인

Manuscrypt 는 지난 달 라자루스 그룹에서 배포된 점을 확인

이 작업은 취약점 연구에 협력할 수 있는 기회를 가진 보안 커뮤니티를 대상

연구원들이 개발한 잠재적인 취약점에 대해 개발한 익스플로잇을 도용할 수 있는 악성 코드로 피해자를 감염시키기 위함

이렇게 함으로써 연구원이 선택하고 연구 중인 취약점 대상에 대한 추가 공격을 준비하는데 사용

이전 공격 캠페인 경고에 대한 사이트 링크

보고서에 언급된 스피어 피싱 이메일 중 적어도 하나는 러시아어로 작성된 것을 확인

다른 메시지에는 미국을 대상으로 하는 것이라 의심되는 Boeing_AERO_GS.docx 이름의 악성 코드 첨부 파일 확인

연구팀은 현재 라자루스 그룹은 전세계 금융 기관을 대상으로 공격을 집중하는 것으로 분석

하지만 2020년 초반부터는 방위산업업체를 대상으로 공격 대상이 변경된 것으로 분석

이전 공격에 사용된 ThreatNeedle 악성 코드를 암호화폐 탈취 목적으로 삼았지만 현재 사이버 스파이 공격에 적극적으로 사용되는 중

openLab