진화하는 전술로 새로운 분야를 공략하는 라자루스 그룹
사이버 보안 업체 카스퍼스키에 따르면 악명 높은 북한 위협 그룹인 라자루스 그룹이 데스노트(DeathNote)라는 캠페인의 일환으로 초점을 전환하고 전술을 업데이트했다고 합니다. 라자루스 그룹은 암호화폐 분야를 표적으로 삼는 것으로 가장 잘 알려져 있지만, 최근에는 동유럽 및 기타 지역의 자동차, 학술, 방위 분야로 공격 범위를 확장하고 있습니다.
박성수 카스퍼스키 연구원은 "이 시점에서 범인은 모든 미끼 문서를 방위 계약업체 및 외교 서비스 관련 직무 설명으로 바꿨다"고 설명했습니다.
데스노트 클러스터는 오퍼레이션 드림 잡 또는 누크스피드로도 알려져 있으며, 구글 소유의 맨디언트를 포함한 다른 회사에서 추적한 바 있습니다. 피싱 공격은 일반적으로 비트코인을 테마로 한 미끼를 사용하여 잠재적 피해자가 매크로로 연결된 문서를 열도록 유도한 다음 감염된 시스템에 Manuscrypt(일명 NukeSped) 백도어를 드롭합니다.
또한 카스퍼스키는 라자루스 그룹이 악성 루틴을 시작하기 위해 수마트라PDF 리더라는 트로이 목마 버전의 합법적인 PDF 리더를 배포했다는 사실도 발견했습니다. 라자루스 그룹이 악성 PDF 리더를 사용하는 것은 이전에 Microsoft에 의해 밝혀진 바 있습니다.
카스퍼스카이는 2022년 3월 보안 소프트웨어를 악용하여 백도어를 배포하고 정보를 훔칠 수 있는 다운로더 멀웨어를 전달함으로써 한국의 피해자를 표적으로 삼은 또 다른 공격을 발견했다고 밝혔습니다. 또한, 이 그룹은 피해자가 트로이 목마에 감염된 PDF 파일을 연 후 DLL 사이드 로딩 기술을 사용하여 라틴 아메리카의 방위 계약업체를 손상시킬 수 있었습니다.
카스퍼스키의 보고서에 따르면 라자루스는 최근 사이버 공격에서 자동차 및 교육 분야를 표적으로 삼고 있습니다. 이러한 공격은 방위 산업을 겨냥한 라자루스 그룹의 대규모 캠페인의 일부라고 합니다.
카스퍼스키는 이 그룹이 이러한 공격을 수행하기 위해 블라인딩캔(일명 에어드라이 또는 제타닐) 및 코퍼헷지 임플란트를 배포했다고 밝혔습니다. 한 예로, 이 그룹은 수마트라PDF 리더라는 합법적인 PDF 리더의 트로이 목마 버전을 사용하여 악의적인 루틴을 시작했습니다. Microsoft는 이전에 이 그룹이 악성 PDF 리더 앱을 사용한다는 사실을 밝힌 바 있습니다.
이 공격의 표적에는 라트비아에 본사를 둔 IT 자산 모니터링 솔루션 공급업체와 한국의 한 싱크탱크가 포함되었습니다. 또한 이 그룹은 한국에서 널리 사용되는 합법적인 보안 소프트웨어를 악용하여 페이로드를 실행했습니다.
카스퍼스카이는 2022년 3월에도 동일한 보안 소프트웨어를 악용하여 백도어와 키 입력 및 클립보드 데이터를 수집하는 정보 탈취기를 배포할 수 있는 다운로더 멀웨어를 배포하여 한국의 여러 피해자를 표적으로 삼은 또 다른 공격을 발견했습니다.
이 글의 출처는 TheHackerNews의 기사입니다.