라자루스 해커들, MATA 악성코드 통해 랜섬웨어 배포 및 데이터 탈취

Lazarus hackers deploy ransomware, steal data using MATA malware

라자루스(Lazarus)로 알려진 북한 해킹 그룹과 연결된 최근 발견된 악성 프레임워크인 MATA가 2018년 4월부터 여러 국가의 기업을 대상으로 랜섬웨어를 배포하고 데이터를 탈취한 공격에 사용되어 온 것으로 나타났습니다.

Kaspersky Lab GReAT(Global Research and Analysis Team)의 보안 연구원들은 폴란드, 독일, 터키, 한국, 일본 및 인도에서 MATA를 발견했다고 밝혔습니다.

라자루스 (HIDDEN COBRA 또는 Zinc로도 알려짐)는 MATA를 통해 소프트웨어 개발 기업, 인터넷 서비스 제공 업체, 전자 상거래 회사 등 다양한 업계 회사의 기기를 해킹했습니다.

 

<이미지 출처: https://securelist.com/mata-multi-platform-targeted-malware-framework/97746/>

카스퍼스키의 보고서에는 공격자의 동기가 언급되어 있지 않지만, 이 북한 해커들은 기존 캠페인에서 금전적 이득을 노린 것으로 이미 알려져 있습니다. 이들은 2014년 소니 필름을 해킹했으며, 2017년 WannaCry 랜섬웨어를 유행 시킨 전적이 있습니다.

2007년 처음 발견된 라자루스는 인도, 멕시코, 파키스탄, 필리핀, 한국, 대만, 터키, 칠레, 베트남의 금융 기관 및 비트코인 교환소를 공격했습니다. 항공 우주, 공학, 정부, 언론, 기술 업계 부문 또한 노렸습니다.

MATA 악성코드 프레임워크

MATA는 로더, 오케스트레이터, 플러그인 다수 등 컴포넌트를 포함하는 모듈형 프레임워크로 우니도우, 리눅스, 맥OS 시스템을 감염시킬 수 있습니다.

해커는 공격 도중 MATA를 사용하여 감염된 시스템의 메모리에 플러그인 몇 개를 로드하여 명령을 실행하고, 파일 및 프로세스를 변조하고, DLL을 삽입하고, 윈도우 기기에서 HTTP 프록시 및 터널을 생성하는 것이 가능합니다.

해커는 MATA 플러그인을 통해 맥 OS 및 리눅스 기반 머신에서 새로운 타깃(라우터, 방화벽, IoT 기기)을 스캔하는 것도 가능합니다.

맥 OS 플랫폼에서는 프록시 서버를 구성하는 plugin_socks 모듈을 로드할 수도 있습니다.

<MATA 윈도우 악성코드 프레임워크 컴포넌트>

<이미지 출처: https://securelist.com/mata-multi-platform-targeted-malware-framework/97746/>

카스퍼스키 연구원들은 해커가 암호화된 다음 단계 페이로드(프레임워크의 오케스트레이터로 추정)를 로드하기 위해 악성코드 로더를 사용하는 것을 발견했습니다.

“로드된 페이로드가 오케스트레이터 악성코드인지는 확실하지 않지만, 거의 모든 피해자가 동일한 머신의 해당 로더와 오케스트레이터를 가지고 있었습니다.”

MATA 악성코드 프레임워크 배포가 완료되면, 운영자는 고객 또는 기업의 민감 정보를 포함한 데이터베이스를 찾으려 시도한 후 고객 목록을 수집 및 추출하는 데이터베이스 쿼리를 실행합니다.

연구원들은 라자루스가 실제로 공격 중 수집한 데이터를 훔쳤다는 결정적인 증거는 찾지 못했다고 밝혔습니다.

MATA와 라자루스와의 연결고리

Kaspersky 연구원들은 Manuscrypt 트로이목마 (Volgmer로도 알려짐)의 다양한 버전에서 사용된 고유한 오케스트레이터 파일명을 사용한 점을 들어 MATA 프레임워크를 라자루스 APT 그룹과 연결시켰습니다.

Manuscrypt 샘플은 미 국토 안보부와 FBI에서 지난 2017년 US-CERT Malware Analysis Report를 통해 공개한 바 있습니다.

카스퍼스키는 보고서를 통해 MATA와 라자루스의 Manuscrypt 트로이목마가 랜덤으로 생성된 세션 ID, 날짜 기반 버전 정보, 슬립 인터벌, 다수의 C2 및 C2 서버 주소를 공유한다고 밝혔습니다.

연구원들은 보고서에서 아래와 같이 결론 지었습니다.

“MATA 프레임워크는 윈도우, 리눅스, 맥OS를 포함한 플랫폼 다수를 공격할 수 있다는 점에서 매우 중요합니다.”

“또한 이 고급 악성코드 프레임워크의 배후에 있는 공격자는 고객 데이터베이스를 훔치고 랜섬웨어를 배포하는 사이버 범죄 공격에 이를 활용했습니다.”

현재 알약에서는 해당 악성코드 샘플에 대해 'Trojan.Nukesped.A, Backdoor.Agent.status' 등으로 탐지 중에 있습니다.

출처:

https://www.bleepingcomputer.com/news/security/lazarus-hackers-deploy-ransomware-steal-data-using-mata-malware/

https://www.kaspersky.com/blog/mata-framework/36458/

https://securelist.com/mata-multi-platform-targeted-malware-framework/97746/