North Korean hackers target defense industry with custom malware
북한의 해킹 그룹이 민감 정보를 수집하는 것을 목표로 2020년 초부터 ThreatNeedle이라는 커스텀 백도어 악성코드를 이용하여 방위 산업체를 노리고 있는 것으로 나타났습니다.
이 스파잉 캠페인은 약 12개국 이상의 조직에 영향을 미쳤으며, 북한 정부의 지원을 받는 해커의 작업인 것으로 나타났습니다.
공격자는 회사의 기업 네트워크에 침투하기 위한 초기 액세스 벡터로 코로나19를 주제로 한 악성 첨부파일 또는 링크를 포함한 스피어 피싱 이메일을 사용합니다.
초기 해킹 이후, 이들은 2018년 가상화폐 비즈니스를 노린 공격에 처음 사용된 그룹의 커스텀 ThreatNeedle 백도어 악성코드를 설치했습니다.
카스퍼스키의 보안 연구원들은 아래와 같이 밝혔습니다.
“ThreatNeedle이 설치되면, 피해자 기기의 전체 제어 권한을 얻어 파일 조작부터 수신한 명령 실행 등 모든 작업을 실행할 수 있게 됩니다.”
<공격 흐름>
ThreatNeedle은 라자루스 해커가 해당 방위산업체 조직의 네트워크에서 측면 이동하여 민감 정보를 수집해 이를 공격자의 서버로 유출시키도록 도왔습니다. 이 과정에서 공격자는 SSH 터널을 통한 커스텀 터널링 툴을 사용하여 원격으로 해킹된 한국 서버로 수집한 정보를 빼돌렸습니다.
또한 이 백도어는 네트워크 세분화를 우회하고 인터넷에 액세스 할 수 없는 미션 크리티컬 기기를 사용하여 제한된 네트워크에 접근하도록 허용했습니다.
“초기 접근 발판을 마련한 후, 공격자들은 크리덴셜을 수집해 측면 이동하여 피해자의 환경에서 중요한 자산을 찾기 시작했습니다.”
“공격자들이 내부 라우터 머신에 접근 권한을 얻어 이를 프록시 서버로 구성하는 방식을 통해 어떻게 네트워크 세분화를 우회하는지 관찰했습니다. 공격자들은 이를 통해 훔친 데이터를 인트라넷 네트워크에서 원격 서버로 유출시켰습니다.”
해커들은 공격을 진행하는 동안 사무실의 IT 네트워크(비즈니스 및 고객 정보를 저장하는 기기) 및 제한된 네트워크 (극도로 민감한 데이터를 저장 및 관리하는데 사용하는 기기)에서 문서 및 데이터를 훔쳤습니다.
라자루스 운영자는 관리자의 워크 스테이션을 제어해 추후 제한된 네트워크에 접근할 수 있도록 악성 게이트웨이를 설정할 수 있었습니다.
<캠페인 타임라인>
라자루스 그룹은 세계적인 금융 기관을 노리는 것으로 주로 알려져 있지만, 이들은 2020년 초 시작된 이 캠페인을 통해 방위 산업 조직을 “적극적으로 공격”하는 것으로 방향을 바꾸었습니다.
라자루스 해커들은 이러한 공격 방식 변경 이후 ThreatNeedle 악성코드를 타깃형 스파잉 공격의 일부로 민감 정보를 훔치기 위해 사용했습니다.
카스퍼스키의 연구원은 아래와 같이 밝혔습니다.
라자루스 해커는 Hidden Cobra로도 알려져 있으며 과거 캠페인에서도 알 수 있듯이 이들은 금전적 이득을 노리는 유명 사이버 범죄 그룹입니다.
2014년 ‘블록버스터 작전’의 일환으로 소니 필름을 해킹했으며, 2017년 세계적인 WannaCry 랜섬웨어 캠페인의 배후에도 이들이 있었습니다.
현재 알약에서는 해당 악성코드 샘플에 대해 ’Trojan.Downloader.DOC.Gen’로 탐지 중입니다.
출처:
Ryuk 랜섬웨어 변종, 자가 확산 기능 구현해 (0) | 2021.03.02 |
---|---|
Rockwell Automation 소프트웨어에서 치명적인 인증 우회 취약점 발견 (0) | 2021.03.02 |
구글, CVE-2021-24093 RCE 취약점에 대한 세부 정보 공개 (0) | 2021.02.26 |
크립토마이닝 봇넷, C2 백업 메커니즘으로 비트코인 블록체인 거래 악용 (0) | 2021.02.25 |
Cisco, 치명적인 MSO 인증 우회 취약점 수정 (0) | 2021.02.25 |
댓글 영역