상세 컨텐츠

본문 제목

코로나19 정국에도 ‘라자루스’ 그룹 소행 국내외 APT 공격 증가 주의보

악성코드 분석 리포트

by 알약(Alyac) 2020. 4. 28. 16:31

본문



안녕하세요. ESRC(시큐리티 대응센터)입니다.


지난 27일 ESRC에서는 특정 정부 후원을 받는 것으로 추정되는 APT(지능형 지속 위협) 공격 그룹인 일명 ‘라자루스(Lazarus)’의 국내외 APT 공격이 활발히 진행되고 있는 것을 발견했습니다. 



[그림 1] 블록체인 소프트웨어 개발 계약서로 위장한 악성 이메일 화면



최근 발견된 APT 공격 중 라자루스가 위협 배후로 추정되는 공격은 아래와 같습니다.



- 블록체인 소프트웨어 개발 계약서

한미관계와 외교안보

항공우주기업 채용관련 문서

00광역시 코로나 바이러스 대응

성착취물 유포사건 출석통지서 



[그림 2] 한미관계와 외교안보 내용을 담고 있는 악성 워드 문서 화면



[그림 3] 미국과 인도의 항공우주기업 채용 문서로 위장한 악성파일 화면



특정 정부 후원을 받는 라자루스 조직은 한국뿐만 아니라 미국 등 국제사회에서 주요 APT 공격을 수행하고 있습니다.


또한 사이버 첩보 활동뿐만 아니라 금전적 수익을 거두기 위한 외화벌이 활동도 꾸준히 확장하고 있습니다. 


이들 조직은 2020년에도 지속적인 APT 공격을 시도하고 있으며, 최근에는 블록체인 소프트웨어 개발 계약서로 위장한 스피어 피싱 공격이 발견되었습니다.


이 공격에 사용된 악성 이메일에는 실제 전자지불 관련 서비스를 제공하고 있는 기업명이 언급되어 있습니다.


해당 기업의 블록체인 소프트웨어 개발 계약서로 사칭한 서류를 검토해 달라는 내용으로 악성 첨부파일을 열어보도록 유도합니다. 


특히 주로 비트코인 등을 거래했거나 관련 분야 종사자를 주요 공격 표적으로 삼고 있어, 금전적인 피해로 이어질 위험성도 있습니다.


또한 지난 4월 1일 발견된 00광역시 감염병관리지원단 사칭 코로나19 바이러스 확진자 발생 관련 협조 요청 위장 공격 역시, 국내 비트코인 거래 관계자가 공격 대상에 일부 포함된 것으로 드러났습니다. 


이처럼 해당 조직은 최근까지 한국 내 암호 화폐 거래 관계자에 대한 공격을 지속하고 있습니다. 


이 밖에도 지난 20일에는 한미관계와 외교안보 제목을 가진 악성 MS 워드(MS-Word) DOC 문서가, 24일에는 미국 항공우주기업 채용관련 문서로 둔갑한 악성 DOC 문서도 발견되었습니다.


이들 조직이 사용한 악성 DOC 문서는 ‘elite4print[.]com’ 명령제어(C2) 서버를 동일하게 사용하고 있고, 작년 10월 인도 국영 항공우주 방위 회사의 채용 관련 문건 위장 공격과도 유사점이 발견되었습니다. 


라자루스는 해외 기관과 기업을 공격할 때, 채용 의뢰나 직무기술서로 위장한 이메일로 공격을 수행하는 일관성을 보이고 있습니다. 


실제로 이 조직의 공격 중 2019년 1월 발견된 악성 파일의 이름은 'Job Description.doc'으로, ESRC에서는 '극한 직업'이라는 의미의 '오퍼레이션 익스트림 잡(Operation Extreme Job)'으로 분석 보고서를 발표한 바도 있습니다. 


라자루스 그룹은 한국과 미국 등을 대상으로 활동하는 대표적인 국가 차원 위협 요소 중 하나로, 사이버 침투 작전과 함께 온라인 은행, 비트코인 거래소 해킹 등을 통한 외화벌이를 조직적으로 수행하고 있습니다. 


악성 문서 파일을 미끼로 주요 기업과 기관의 종사자들을 노리고, 최근 위협 활동이 눈에 띄게 증가하고 있어 각별한 주의가 요구됩니다.


또한 라자루스 조직은 김수키(Kimsuky), 코니(Konni), 금성121(Geumseong121) 조직과 함께 수년간 대한민국 등을 상대로 다양한 APT 공격을 수행해 왔습니다.


따라서 이들 조직에 대한 체계적인 연구와 대응 노력이 중요합니다. 


현재 알약에서는 새롭게 발견된 악성코드를 탐지명 ’Trojan.Downloader.DOC.Gen, Exploit.HWP.Agent’ 등으로 탐지 차단하고 있습니다.


라자루스 그룹의 공격과 관련된 더 자세한 IoC(침해지표)는 '쓰렛 인사이드(Threat Inside)' 서비스에서도 확인하실 수 있습니다.




관련글 더보기

댓글 영역