보안 연구 기관인 시스코 탈로스(Cisco Talos)는 최근 북한과 연계된 악명 높은 사이버 위협 그룹을 폭로했습니다.거지 그룹". 이 작전은 "대장장이 작전"으로 명명되었으며 다음을 사용하는 것이 특징이었습니다.Log4j 취약점(CVE-2021-44228, 또한 ~으로 알려진Log4Shell) 대상 시스템에 이전에 알려지지 않은 RAT(원격 액세스 트로이 목마)를 배포합니다.
탈로스보안 전문가안정수, Asheer Malhotra, Vitor Ventura는 Lazarus Group이 NineRAT RAT, DLRAT, 그리고 Telegram을 명령 및 제어(C2) 채널로 사용하는 BottomLoader라는 다운로더를 포함하여 DLang 언어 기반의 세 가지 악성 코드군을 사용하여 공격을 수행했다고 밝혔습니다. . 장치.
기술 보고서는 이번 작전에 채택된 새로운 전술이 라자루스의 하위 클러스터인 안다리엘(오닉스 진눈깨비 또는 사일런트 천리마로도 알려짐)의 행동 패턴과 상당 부분 중복된다는 점을 지적했습니다. 안다리엘은 일반적으로 북한 정부의 전략적 이해관계를 지원하기 위한 초기 접근, 정찰, 장기적인 접근 구축에 중점을 둡니다.
대상 공격 체인은 공개적으로 접근 가능한 VMWare Horizon 서버에 대한 공격을 통해 주로 제조, 농업, 물리 보안 분야에 집중되어 있으며, 2022년 5월 처음 개발된 이후 NineRAT은 남반구에 대한 공격을 포함하여 여러 공격에 배치되었습니다. 올해 3월에는 미국의 농업 조직이 공격을 받았고, 9월에는 유럽의 제조 기업이 공격을 받았습니다.
데이터에 따르면 공개된 지 2년이 지난 후에도 2.8% 애플리케이션은 여전히 보안 취약성이 있는 Log4j 버전을 사용하는 반면, 3.8% 애플리케이션은 CVE-2021-44228 공격에 면역인 Log4j 2.17.0 버전을 사용하는 것으로 나타났습니다. CVE-2021-44832.
감염에 성공한 후 NineRAT는 텔레그램 기반 C2 통신을 통해 또 다른 시스템 핑거프린팅을 수행합니다. 이는 NineRAT을 통해 Lazarus가 수집한 데이터가 다른 APT 그룹과 공유되어 원래 수집된 데이터와 별도로 저장될 수 있음을 나타냅니다.
보고서는 또한 JetBrains TeamCity(CVE-2023-42793, CVSS 점수 9.8)의 심각한 보안 취약점을 악용하기 위해 공격에 HazyLoad라는 사용자 지정 프록시 도구가 사용되었음을 밝혔습니다. HazyLoad는 일반적으로 BottomLoader라는 악성코드를 통해 다운로드되고 실행됩니다.
또한 Operation Blacksmith에는 다운로더일 뿐만 아니라 시스템 정찰을 수행하고, 다른 악성 코드를 배포하고, C2 명령을 수신하고 감염된 시스템에서 실행할 수 있는 RAT인 DLRAT 배포도 포함되었습니다.
한편, 대한민국 보안긴급대응센터(ASEC)는 라자루스 천리마와 관련된 또 다른 북한 APT 그룹 Kimsuky(APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Nickel Kimball 및 Velvet이라고도 함)에 대한 자세한 보고서를 발표했습니다. 이 그룹은 미끼 부착물과 링크를 이용해 스피어 피싱 공격을 수행합니다.
原创文章,作者:首席安全官,如若转载,请注明出处:https://cncso.com/kr/라자루스-그룹-log4j-취약점-악용-html
