포스팅 내용

국내외 보안동향

북한 해커들, 데이터 탈취를 위해 ELECTRICFISH 사용해

North Korean Hackers Use ELECTRICFISH Malware to Steal Data


미 연방 수사국(FBI)과 미 국토안보부(DHS)가 북한 APT 그룹인 라자루스(Lazarus)에 대한 분석 보고서를 발행했습니다.


발표된 분석 보고서에는 피해자들로부터 데이터를 추출하는 악성코드인 ELECTRICFISH에 대한 내용이 포함되어 있습니다. 


US-CERT 사이트에 공개된 MAR AR19-129A에 따르면, 이 악성코드는 북한 해킹 그룹인 히든 코브라(HIDDEN COBRA)의 악성 행위를 추적하던 중 발견되었습니다.


HIDDEN COBRA는 Lazarus, Guardians of Peace, ZINC, NICKET ACADEMY로도 알려져 있습니다.


MAR-10135536-21 악성코드 분석 보고서는 북한 정부의 악성 사이버 활동에 대한 네트워크 방어를 활성화하고 공격으로부터 노출을 줄이기 위해 발행되었습니다.


ELECTRICFISH 관련 권고문에는 아래의 내용이 포함되어 있습니다.

이 악성코드 분석 보고서(MAR)는 HIDDEN COBRA와 관련된 악성코드에 대해 설명하고, 이에 대한 대응 조치 및 완화 기술을 제안합니다. 사용자 및 관리자들은 이 악성코드와 관련된 행위에 플래그를 지정하고 해당 활동을 CISA 또는 FBI Cyber Watch에 신고해야 하며, 이 악성코드 예방 활동을 최우선 순위로 진행해야 할 것입니다.


US-CERT가 발행한 보고서에는 라자루스 그룹의 ELECTRICFISH 악성코드에 감염된 것으로 밝혀진 악성 32비트 실행 파일에 대한 상세한 분석이 포함되어 있습니다.


이 악성코드는 커스텀 프로토콜을 구현해 네트워크 트래픽이 출발지 IP와 목적지 IP 주소 사이를 이동할 수 있게끔 만들었습니다. 


이 악성코드는 지속적으로 출발지와 목적지 시스템에 접근을 시도하고, 양쪽에서 세션을 시작할 수 있습니다.


라자루스 그룹은 프록시 서버/포트와 프록시 계정명/패스워드를 통해 이 악성코드를 설정할 수 있습니다.


설정이 완료되면, 프록시 서버 내부에 있는 시스템에 연결이 가능하므로 감염된 시스템의 인증을 우회할 수 있게 됩니다.


<이미지 출처: https://twitter.com/cyber/status/1126537178199281664>


ELECTRICFISH는 손상된 기기에 구성된 인증 조치를 우회한 후, 타깃 네트워크 외부에 위치한 목적지 IP 주소 및 출발지 IP 주소로 세션을 설정합니다.


출발지 IP 주소와 목적지 IP 주소 사이에 연결이 설정되면, ELECTRICFISH 악성코드는 두 기기 간에 인터넷 트래픽을 이동시킬 수 있습니다.


이는 공격자가 해킹된 컴퓨터에서 수집한 정보를 그들이 제어하는 서버로 전송할 수 있게 해 줍니다.


미 국토안보부가 US-CERT를 통해 발행한 악성코드 보고서는 수동 리버스 엔지니어링을 통한 자세한 악성코드 분석을 제공하기 위해 작성되었습니다.


ELECTRICFISH의 샘플 및 더욱 자세한 정보는 AR10-100A 권고문을 통해 확인할 수 있습니다.


현재 알약에서는 해당 악성코드에 대해 'Trojan.Agent.Occamy.A'으로 탐지 중에 있습니다.



출처:

https://www.bleepingcomputer.com/news/security/north-korean-hackers-use-electricfish-malware-to-steal-data/

https://www.us-cert.gov/ncas/analysis-reports/AR19-129A

티스토리 방명록 작성
name password homepage