2019-11-11 21:20 (월)
북한 라자루스 해킹그룹...韓, 美, 日에 이어 러시아까지 공격 확대
상태바
북한 라자루스 해킹그룹...韓, 美, 日에 이어 러시아까지 공격 확대
  • 페소아 기자
  • 승인 2019.02.25 20:18
이 기사를 공유합니다

지난 1월, 러시아 기업을 타깃으로 한 사이버공격 캠페인 발견돼

north-korea-2131334_640.jpg
라자루스 그룹(일명 히든 코브라)으로 알려진 북한 APT 공격그룹은 한국, 일본, 미국에 해킹 활동의 초점을 맞추고 있었지만, 지난 1월에 러시아 기업을 타깃으로 한 캠페인이 발견되었다.

체크포인트는 블로그 포스트를 통해 1월 26일부터 31일까지 발생한 키릴 문자로 쓰여진 콘텐츠를 포함하고 있는 피싱 캠페인이 한국어로 작성된 코드 페이지를 포함한다고 밝혔다. 그들은 바이러스토탈에 업로드된 유일한 샘플이 러시아 소스로부터 왔기에 이러한 러시아를 목표로 한 것이 우연은 아니라고 설명한다.

이메일에는 PDF 문서와 악성 오피스 문서(워드나 엑셀)를 담고 있는 zip 압축파일이 첨부되어 있다. 문서에는 드랍박스 URL에서 VBScript를 다운로드하고 실행하는 매크로가 담겨 있다. 그런 다음 스크립트는 이라크에 위치한 손상된 서버에서 CAB 파일을 다운로드 한다. 이 파일에는 윈도우의 expand.exe 유틸리티 도구를 악용하여 스크립트를 실행하는 내장 백도어가 들어 있다.

악의적인 문서는 이미지와 에러 메시지를 사용해 수신자가 매크로를 사용하도록 유도한다.로스엔젤레스 고등 법원으로부터 발송된 것처럼 보이는 워드 문서 샘플중 하나는 ‘Serial_Numbers.xls’라는 파일이름을 사용하고 있었다.

블로그에는 “이 캠페인은 드롭퍼의 XLS 및 DOC 변형 모두에서 매우 유사한 매크로 코드를 보인다. 매크로 자체는 매우 간단하지만 이 경우 매크로를 간단하게 유지하고 고급 난독화 기법을 사용하지 않아도 바이러스 토탈에서 많은 보안 업체의 제품에 탐지되지 않았다”고 설명하고 있다.

마이크로소프트 오피스 문서와 함께 첨부된 유인용 PDF는 소프트웨어 복제 방지 솔루션 제공업체인 스타포스(StarForce) 기술에 대한 비공개 비지니스 계약처럼 보였다.

체크포인트는 이 캠페인에 사용된 라자루스의 버전이 공격자가 희생자 머신에서 정찰을 수행하고 정보를 검색할 수 있는 원격 관리도구인 KEYMARBLE로 알려진 최신 변형이라고 설명했다.

또 “일단 실행되면 몇가지 초기 설정을 하고 ,C2 서버에 접속해 새로운 명령을 무기한 대기한다. 각 수신된 명령은 백도어에 의해 처리되고 대상 컴퓨터에서 정보를 수집하거나 작업을 수행한다”고 덧붙였다.

★정보보안 대표 미디어 데일리시큐!★