|
COVID-19 백신 연구를 훔치려는 북한 해커들 침해사고분석팀 2020.12.28 |
|
|
악명 높은 라자루스 그룹과 같은 위협 행위자들은 자국의 백신 개발 노력을 가속화 하기 위해 COVID-19 백신 연구에 대한 민감한정보를 빼내는 공격을 지속적으로 수행하고 있다.
사이버 보안 업체인 카스퍼스키가 9,10월 발생한 제약회사와 정부 부처의 사이버 공격 사건에 대해, 두 공격 간 유사점과 북한 정부와 연계된 해커 단체임을 설명하였다.
카스퍼스키는 대상 기관을 지목하지는 않았지만 한 달 뒤인 10월 27일 정부 보건부에 대한 공격이 발생하면서 9월 25일 제약회사가 침해당했다는 사실을 발표했다.
특히 제약회사에서의 사건은 라자루스 그룹이 최근 한국의 소프트웨어 회사 WIZVERA의 공급망 공격에 이용된 "BookCodes" RAT(원격 관리 도구) 악성코드를 표적 시스템에 설치하는 것을 보았다.
[그림 1. 백도어 설치 과정]
공격에 이용된 초기 액세스 벡터는 아직 알려지지 않고 있으나, 연구진이 파악한 악성코드 로더는 시스템 정보 수집, 원격 명령 수신, 실행 결과 전송 기능이 탑재된 암호화된 BookCodes RAT를 국내에 위치한 명령제어(C2) 서버로 로드한다고 한다.
[그림 2. 백도어 동작 과정]
보건부를 겨냥한 별도의 캠페인에서 해커들은 윈도우 서버 두대를 해킹하여 "wAgent"로 알려진 악성 프로그램을 설치한 다음, 공격자가 제어하는 서버에서 다른 악성 페이로드를 검색하는 데 사용했다.
이전 사례와 마찬가지로 연구자들은 공격에 사용된 스타터 모듈을 찾을 수 없었지만, wAgent가 백도어 기능을 포함하는 Windows DLL을 메모리에 직접 로드한 후 특정 매개 변수를 사용하여 멀웨어를 실행하는 역학을 수행한 것으로 의심하고 있다.
카스퍼스키는 공격에 사용된 2개의 악성코드 클러스터와 무관하게, 10월에 사용된 wAgent 악성코드는 이전에 라자루스 그룹이 암호화폐 사업에 대한 공격에 사용했던 악성코드와 동일한 감염 체계를 공유했다며, 악성코드 명명 방식과 디버깅 메시지 등이 중복된 점을 들었다고 밝혔다.
출처 https://thehackernews.com/2020/12/north-korean-hackers-trying-to-steal.html
|
