북한 정부 후원 해킹조직으로 잘 알려진 APT 공격그룹 라자루스(Lazarus)가 최근 코로나19 연구와 관련된 최소 두 개의 조직에 대한 사이버 공격을 시작한 것으로 조사됐다.

카스퍼스키에 따르면, 라자루스 APT 그룹은 2007년경부터 활동을 시작했고 2014년과 2015년에 활동이 급증했으며, 대부분 공격에 맞춤형 맬웨어를 사용했다. 주로 데이터를 훔치고 시스템을 파괴하기 위한 사이버 스파이 활동과 사보타주 활동에 참여한 것으로 알려져 있다.

이 그룹은 워너크라이(WannaCry) 랜섬웨어 공격, 2016년 SWIFT 공격, 소니픽쳐스 해킹 등 굵직한 사건들의 배후 그룹으로 지목되고 있기도 하다. 또 북한 정부와 연결된 APT 공격그룹들은 지난 2년 동안 TTP를 진화시켜 왔으며 가상화폐 거래소를 계속해서 목표로 삼고 있다고 밝혔다.

한편 카스퍼스키 연구원들은, 2020년 9월과 10월에 APT 그룹이 수행 한 새로운 공격을 발견했다고 전했다. 바로 코로나19 백신 개발에 참여한 보건기관과 제약 회사를 겨냥한 공격이라고 설명했다.

이 APT 해킹그룹들은, 제약 회사 시스템에 대해 BookCode 악성코드로 공격했고 보건기관은 APT 그룹은 wAgent 악성코드를 사용한 것으로 조사됐다. 라자루스 조직이 가상화폐 거래소와 기업들을 해킹할 때 wAgent 악성코드를 사용한 것으로 드러났다.

북한 라자루스 그룹에 대한 조사를 지속적으로 진행해 오고 있는 카스퍼스키에 따르면, 이 공격그룹은 9월 말 제약 회사를 공격했고, 코로나19 대응과 관련된 정부 부처도 공격했다고 밝혔다.

각 공격은 서로 다른 TTP를 사용했지만, 두 사례 사이의 연관성이 있으며 조사결과 라자루스 그룹과 연결된 증거를 찾았다고 전했다. 공격자가 감염된 시스템을 완전히 장악할 수 있는 백도어를 사용했다고 덧붙였다.

연구원들은 두 공격 모서 초기 감염 경로를 정확히 파악할 수는 없었지만 스피어 피싱 공격이나 워터 링 홀 공격을 사용했을 것으로 추측하고 있다.

또 wAgent 백도어를 통해 공격자는 다양한 쉘 명령을 실행해 감염된 장치에서 정보를 수집 할 수 있다. 또 BookCode 백도어는 라자루스 조직이 타깃 시스템에서 시스템 및 네트워크 정보를 수집하는 데 사용되었다고 밝혔다.

연구원들은 또, 보건부 해킹에 사용 된 wAgent 악성코드는 이전에 가상화폐 거래소 공격에 라자루스 그룹이 사용한 악성코드와 동일한 감염 체계를 가지고 있다는 것을 확신했다. 더불어 코로나19 관련 기관들의 각별한 주의를 당부했다.

★정보보안 대표 미디어 데일리시큐!★