북한과 연결된 Lazarus 그룹, IDA Pro 트로이목마로 사이버 보안 전문가들 노려

North Korea-linked Lazarus group targets cybersecurity experts with Trojanized IDA Pro

 

ESET 연구원들이 북한과 관련 있는 APT 그룹인 Lazarus가 인기 있는 IDA Pro 리버스 엔지니어링 소프트웨어를 트로이목마화 시켜 사이버 보안 커뮤니티를 노리고 있다고 밝혔습니다.

 

공격자는 IDA Pro 7.5 소프트웨어에 악성 컴포넌트 2가지를 묶었습니다.

 

ESET은 트위터를 통해 아래와 같이 밝혔습니다.

 

“공격자들은 IDA Pro 설치 시 실행되는 내부 컴포넌트인 win_fw.dll을 악성 DLL로 바꿔치기했습니다. 악성 win_fw.dll은 IDA 플러그인 폴더에서 두 번째 악성 컴포넌트인 idahelper.dll을 시작하는 윈도우 예약 작업을 생성합니다.”

 

 

<이미지 출처 : https://twitter.com/ESETresearch/status/1458438155149922312>

<이미지 출처 : https://twitter.com/ESETresearch/status/1458438155149922312>

 

 

IDA Pro는 악성코드 연구원들이 디버깅 및 리버스 엔지니어링을 위해 기계 실행 코드를 어셈블리 언어 소스 코드로 변환하는 데 널리 사용합니다.

 

설치 프로그램을 실행하면 idahelper.dll이 https://www[.]devguardmap[.]org/board/board_read.asp?boardid=01에서 다음 단계 페이로드를 다운로드 및 실행하려고 시도합니다.

 

전문가들은 해당 도메인이 과거 해당 APT 그룹이 보안 전문가를 노렸던 한 캠페인과 관련이 있다고 밝혔습니다.

 

지난 3월, 구글의 위협분석그룹(TAG) 연구원들은 북한과 관련된 해커들이 소셜미디어를 통해 보안 연구원들을 노리고 있다고 밝혔습니다.

 

구글 연구원들은 공격자가 침투 테스트, 보안 평가, 익스플로잇을 포함한 공격적인 보안 서비스를 제공하는 SecuriElite라는 가짜 사이버 보안 회사의 웹사이트 또한 생성한 것을 발견했습니다.

 

Lazarus APT 그룹의 활동은 2014년과 2015년에 급증했으며, 멤버들은 공격에 커스텀 악성코드를 주로 사용했습니다.

 

이 공격자는 최소 2009년, 빠르면 2007년부터 활동해 왔으며 데이터를 파괴하고 시스템을 교란시키기 위한 사이버 스파이 활동과 사보타주에 참여했습니다.

 

이 그룹은 대규모 WannaCry 랜섬웨어 공격과 2016년 발생한 일련의 SWIFT 공격, Sony Pictures 해킹 사건과도 관련이 있는 것으로 추측됩니다.

 

현재 알약에서는 해당 악성코드 샘플에 대해 ’Trojan.Nukesped.A’로 탐지 중입니다.

 

 

 

 

출처:

https://securityaffairs.co/wordpress/124630/apt/lazarus-trojanized-ida-pro.html

https://twitter.com/ESETresearch/status/1458438169502826508 (IOC)