북한 라자루스(Lazarus) 그룹, 알려진 보안 취약점을 악용해 소프트웨어 공급업체 공격

북한의 나사로해커조직은 언제나 그랬다.사이버 보안세상의 중요한 관심사. 최근 그들은 새로운 공격 캠페인의 배후에 있는 것으로 생각되었습니다. 이 캠페인에서는 이름이 알려지지 않은 소프트웨어 공급업체가 유명 소프트웨어의 알려진 보안 취약점을 악용하여 피해를 입었습니다.

Kaspersky에 따르면 이러한 공격은 궁극적으로 위협 행위자가 피해자 분석 및 페이로드 전달을 위해 사용하는 알려진 해킹 도구인 SIGNBT 및 LPEClient와 같은 악성 코드의 배포로 이어졌습니다.

박성수 보안 연구원은 공격자가 첨단 회피 기술을 사용하고 피해자를 통제하기 위해 SIGNBT 악성코드를 도입하는 등 공격이 매우 정교함을 보였다고 지적했습니다. SIGNBT 악성코드는 다양한 감염 체인과 정교한 기술을 사용합니다.

러시아 사이버 보안 공급업체에 따르면, 악용된 소프트웨어를 개발한 회사는 여러 차례 Lazarus 공격의 피해자가 되었습니다. 이는 이전 3CX 공급망 공격과 유사하게 소스 코드를 훔치거나 소프트웨어 공급망을 오염시키려는 시도를 나타냅니다.

Lazarus 그룹은 계속해서 회사 소프트웨어의 취약점을 악용하고 다른 소프트웨어 제조업체를 표적으로 삼고 있습니다. 이번 캠페인에서는 다수의 피해자가 지목된 것으로 전해진다.

회사에 따르면 피해자들은 디지털 인증서를 사용해 네트워크 통신을 암호화하도록 설계된 합법적인 보안 소프트웨어를 통해 공격을 받았지만 소프트웨어 이름은 공개되지 않았습니다. SIGNBT 악성코드의 정확한 전파 메커니즘은 아직 불분명합니다.

공격 체인은 감염된 시스템에서 지속성을 설정하고 유지하기 위해 다양한 전술을 활용하는 것 외에도 메모리 로더를 도관으로 활용하여 SIGNBT 악성 코드를 실행합니다.

SIGNBT 악성 코드의 주요 기능은 원격 서버와 연결을 설정하고 감염된 호스트에서 실행할 추가 명령을 검색하는 것입니다. 이 악성코드는 초기 연결을 위한 SIGNBTLG, 시스템 메타데이터 수집을 위한 SIGNBTKE, 명령 가져오기를 위한 SIGNBTGC, 통신 실패의 경우 SIGNBTFI와 같이 HTTP 기반 명령 및 제어(C2) 통신에서 "SIGNBT"라는 접두사가 붙은 고유한 문자열을 사용하여 이름이 지정됩니다. 성공적인 의사소통을 위해

SIGNBT 악성 코드 자체에는 프로세스 열거, 파일 및 디렉터리 조작, LPEClient 및 기타 자격 증명 덤핑 유틸리티와 같은 페이로드 배포를 포함하여 피해자 시스템을 제어하는 데 사용할 수 있는 여러 기능이 있습니다.

Kaspersky는 2023년에 서로 다른 침입 벡터와 감염 절차를 사용했지만 악성 코드의 최종 단계를 전달하기 위해 항상 LPEClient 악성 코드에 의존하는 최소 3개의 서로 다른 Lazarus 캠페인을 발견했다고 밝혔습니다.

캠페인의 임플란트 중 하나인 코드명 Gopuram은 3CX의 음성 및 화상 회의 소프트웨어의 트로이 목마 버전을 활용하여 암호화폐 회사에 대한 사이버 공격의 길을 열었습니다.

이러한 최신 발견은 북한 관련 사이버 작전의 최신 사례일 뿐이며 Lazarus 그룹이 계속해서 도구, 전술 및 기술을 발전시키고 확장하고 있음을 보여줍니다.

Lazarus 그룹은 매우 활동적이고 다재다능한 위협 행위자였으며 오늘날의 사이버 보안 환경에서 여전히 중요한 관심사로 남아 있습니다. 그들은 지속적으로 공격 기술을 개선하고 악용할 새로운 대상과 취약점을 찾습니다. Lazarus 그룹은 소프트웨어 공급업체에 대한 공격 외에도 금융 기관, 암호화폐 거래소 등 다른 영역에도 관여하고 있습니다. 이들은 소셜 엔지니어링, 피싱 이메일, 악성 코드 배포 등 다양한 전술을 사용하여 민감한 정보를 훔치고, 자금을 훔치고, 스파이 활동을 수행합니다.

나사로가 조직한 활동은 북한 정부와 연결되어 있다. 이들은 북한 정부의 승인을 받은 기관으로 정부에 사이버 공격 능력을 제공하고 정부의 정치적, 경제적 목표 달성을 돕는 것으로 여겨진다. 이들은 지난 몇 년 동안 활동해 왔으며 사이버 보안 커뮤니티의 중요한 관심사입니다.

이러한 유형의 공격으로부터 자신을 보호하기 위해 소프트웨어 공급업체 및 기타 잠재적인 대상은 다양한 보안 조치를 취해야 합니다. 여기에는 소프트웨어의 보안 허점을 정기적으로 업데이트 및 패치하고, 강력한 인증 및 액세스 제어 메커니즘을 구현하고, 직원에게 사이버 보안 모범 사례를 교육하고, 고급 침입 탐지 및 방지 시스템을 사용하는 것이 포함됩니다.

또한 사용자는 경계심을 유지하고 의심스럽거나 알 수 없는 소스의 링크를 클릭하지 말고, 알 수 없는 소스의 첨부 파일을 다운로드하지 말고, 운영 체제와 애플리케이션을 정기적으로 업데이트 및 유지 관리하고, 신뢰할 수 있는 보안 소프트웨어를 사용하여 장치를 맬웨어로부터 보호해야 합니다.

전반적으로 Lazarus 그룹의 활동은 사이버 위협의 지속적인 진화와 확대를 보여줍니다. 이러한 위협에 직면하여 지속적인 보안 인식과 포괄적인 방어 조치가 중요합니다.