Wins Security Information

보안 동향

앞 내용 보기 다음 내용 보기
보안 동향북한 해커들이 맞춤형 맬웨어로 방위 산업을 공략한다
작성일 2021-02-26 조회 42

북한 해커들이 맞춤형 악성 코드로 방위 산업을 표적으로 삼다

 

 

북한의 지원을 받는 한 해킹 그룹은 매우 민감한 정보를 수집하는 것을 목표로 2020년 초부터 ThreatNeedle이라고 불리는 맞춤형 백도어 맬웨어로 방위 산업을 공략했다.

 

이 스파이 캠페인은 십여 개국의 조직에 영향을 미쳤으며 라자루스(Lazarus) 그룹으로 추적되는 북한의 지원을 받는 국가 해커들에 의해 조정되었다.

 

공격자들은 회사의 엔터프라이즈 네트워크에 대한 초기 액세스 벡터로 악성 첨부 파일이나 링크가 포함된 COVID19 테마 스피어 피싱 이메일을 사용했다.

 

이들은 초기 침해 이후, 2018년에 암호화폐 기업을 대상으로 한 공격에 처음 사용된 그룹 맞춤형 ThreatNeedle 백도어 맬웨어를 설치했다.

 

Kaspersky 보안 연구원들은 "ThreatNeedle은 일단 설치되면 피해자의 장치를 완전히 제어할 수 있게 되는데, 이는 파일 조작에서부터 수신된 명령 실행에 이르기까지 모든 것을 할 수 있다는 것을 의미한다"고 말했다.

 

 

공격 흐름

[그림1. 공격 흐름]

 

 

ThreatNeedle은 라자루스 공격자들이 방어 조직의 네트워크를 가로 질러 이동하고 SSH 터널을 통해 사용자 지정 터널링 도구를 사용하여 공격자가 제어하는 서버로 유출된 민감한 정보를 수집했다. 또한, 원격으로 손상된 한국 서버로 이동할 수 있도록 도왔다.

 

백도어는 네트워크 분할을 우회하고 인터넷 접속이 불가능한 미션 크리티컬 장치를 사용하여 제한된 네트워크에 접속할 수 있게 했다.

 

Kaspersky는 "초기 거점을 확보한 뒤 공격자들은 자격 증명을 수집하고 측면으로 이동해 피해자 환경에서 중요한 자산을 노렸다"고 덧붙였다.

 

"우리는 내부 라우터 시스템에 액세스하고 이를 프록시 서버로 구성하여 인트라넷 네트워크에서 원격 서버로 도난 당한 데이터를 유출할 수 있도록 하여 네트워크 분할을 극복하는 방법을 관찰했다."

 

공격자들은 공격 내내 사무실 IT 네트워크(비즈니스 및 고객 정보 저장에 사용되는 장치)와 제한된 네트워크(일반적으로 매우 민감한 데이터를 저장 및 관리하는 데 사용됨)에서 문서와 데이터를 훔치는 모습도 목격했다.

 

라자루스 운영자들은 관리자의 워크스테이션을 통제했고, 이후 그들은 제한된 네트워크에 대한 접근을 제공하는 악성 게이트웨이를 설정할 수 있었다.

 

 

캠페인 타임 라인

[그림2. 캠페인 타임 라인]

 

 

라자루스 그룹은 이 캠페인이 시작된 2020년 초부터 세계 금융기관을 공략하는데 주력하는 것으로 알려졌지만, 방위 산업 조직으로 초점을 전환했다.

 

이후, 라자루스 공격자들은 표적 스파이 공격의 일환으로 민감한 정보를 훔치기 위해 ThreatNeedle 맬웨어의 용도를 변경했다.

 

Kaspersky GReAT 보안 연구원 박성수는 "라자루스는 아마도 2020년에 가장 적극적인 위협 행위자였을 것이며, 이것이 곧 바뀔 것으로 보이지는 않는다. 실제로 이미 올해 1월 구글 위협 분석팀은 라자루스가 보안 연구원들을 표적으로 삼기 위해 동일한 백도어를 사용하는 것이 목격됐다고 보고했다. 앞으로 더 많은 ThreatNeedle이 등장할 것으로 예상되며 앞으로도 계속 주시할 것이다."라고 말햇다.

 

라자루스 공격자들은 또한 미국 정보 커미니티(United States Intelligence Community)에 의해 HIDDEN COBRA로 추적된다.

 

그들은 캠페인에서 알 수 있듯이 재정적으로 동기를 부여받은 잘 알려진 사이버 범죄 그룹이다. 그들은 2014년 Operation Blockbuster의 일환으로 Sony Films를 해킹 했으며 2017년 글로벌 WannaCry 랜섬웨어 캠페인의 배후에 있었다.

 

 

출처

 

첨부파일 첨부파일이 없습니다.
태그 라자루스 그룹  ThreatNeedle  표적 백도어 맬웨어