North Korean Hackers Use ELECTRICFISH Malware to Steal Data
미 연방 수사국(FBI)과 미 국토안보부(DHS)가 북한 APT 그룹인 라자루스(Lazarus)에 대한 분석 보고서를 발행했습니다.
발표된 분석 보고서에는 피해자들로부터 데이터를 추출하는 악성코드인 ELECTRICFISH에 대한 내용이 포함되어 있습니다.
US-CERT 사이트에 공개된 MAR AR19-129A에 따르면, 이 악성코드는 북한 해킹 그룹인 히든 코브라(HIDDEN COBRA)의 악성 행위를 추적하던 중 발견되었습니다.
HIDDEN COBRA는 Lazarus, Guardians of Peace, ZINC, NICKET ACADEMY로도 알려져 있습니다.
MAR-10135536-21 악성코드 분석 보고서는 북한 정부의 악성 사이버 활동에 대한 네트워크 방어를 활성화하고 공격으로부터 노출을 줄이기 위해 발행되었습니다.
ELECTRICFISH 관련 권고문에는 아래의 내용이 포함되어 있습니다.
이 악성코드 분석 보고서(MAR)는 HIDDEN COBRA와 관련된 악성코드에 대해 설명하고, 이에 대한 대응 조치 및 완화 기술을 제안합니다. 사용자 및 관리자들은 이 악성코드와 관련된 행위에 플래그를 지정하고 해당 활동을 CISA 또는 FBI Cyber Watch에 신고해야 하며, 이 악성코드 예방 활동을 최우선 순위로 진행해야 할 것입니다.
US-CERT가 발행한 보고서에는 라자루스 그룹의 ELECTRICFISH 악성코드에 감염된 것으로 밝혀진 악성 32비트 실행 파일에 대한 상세한 분석이 포함되어 있습니다.
이 악성코드는 커스텀 프로토콜을 구현해 네트워크 트래픽이 출발지 IP와 목적지 IP 주소 사이를 이동할 수 있게끔 만들었습니다.
이 악성코드는 지속적으로 출발지와 목적지 시스템에 접근을 시도하고, 양쪽에서 세션을 시작할 수 있습니다.
라자루스 그룹은 프록시 서버/포트와 프록시 계정명/패스워드를 통해 이 악성코드를 설정할 수 있습니다.
설정이 완료되면, 프록시 서버 내부에 있는 시스템에 연결이 가능하므로 감염된 시스템의 인증을 우회할 수 있게 됩니다.
<이미지 출처: https://twitter.com/cyber/status/1126537178199281664>
ELECTRICFISH는 손상된 기기에 구성된 인증 조치를 우회한 후, 타깃 네트워크 외부에 위치한 목적지 IP 주소 및 출발지 IP 주소로 세션을 설정합니다.
출발지 IP 주소와 목적지 IP 주소 사이에 연결이 설정되면, ELECTRICFISH 악성코드는 두 기기 간에 인터넷 트래픽을 이동시킬 수 있습니다.
이는 공격자가 해킹된 컴퓨터에서 수집한 정보를 그들이 제어하는 서버로 전송할 수 있게 해 줍니다.
미 국토안보부가 US-CERT를 통해 발행한 악성코드 보고서는 수동 리버스 엔지니어링을 통한 자세한 악성코드 분석을 제공하기 위해 작성되었습니다.
ELECTRICFISH의 샘플 및 더욱 자세한 정보는 AR10-100A 권고문을 통해 확인할 수 있습니다.
현재 알약에서는 해당 악성코드에 대해 'Trojan.Agent.Occamy.A'으로 탐지 중에 있습니다.
출처:
Linksys 스마트 Wi-Fi 라우터, 민감한 기기 정보 노출시켜 (0) | 2019.05.14 |
---|---|
😾😾😾 Thrangrycat 취약점 발견! (0) | 2019.05.14 |
Dharma 랜섬웨어, 피해자의 주의를 돌리기 위해 정식 안티바이러스 툴 사용 (0) | 2019.05.10 |
미라이(Mirai) 코드에서 C&C 서버를 중단하는 버그 발견 (0) | 2019.05.09 |
ICS-CERT, GE 커뮤니케이터 소프트웨어의 취약점에 대해 경고해 (0) | 2019.05.08 |
댓글 영역