北 라자루스, 특정 표적 ‘핀셋’ 타격
북한 해킹 그룹 라자루스(Lazarus)가 새 자바스크립트 임플란트를 사용해 미국과 유럽, 아시아를 공격하고 있다. 최소 2024년 12월 말부터 진행됐으며, 현재까지 확인된 피해 조직만 233개다. 멀웨어
www.boannews.com
- 공격 개요
- 라자루스 그룹, 2024년 12월부터 새로운 자바스크립트 임플란트 마스테크1(Marstech1) 활용
- 미국, 유럽, 아시아 지역 233개 조직 공격
- 주요 표적은 암호화폐 지갑(메타마스크, 엑소더스, 아토믹 지갑)
- 공격 방법
- 깃허브(GitHub) 및 NPM 리포지터리 악용
- 정상 계정 석세스프렌드(SuccessFriend)를 사용하여 악성 패키지 업로드
- "웹 개발 및 암호화폐에 관심"이라는 자기소개를 통해 신뢰성 확보
- 공급망 공격과 정교한 표적 공격 병행
- 일반 개발자처럼 참여하며 익명화 프로젝트에 기여
- 공격 대상은 크로미움(Chromium) 기반 브라우저와 그 플러그인 설정 파일들
- 브라우저 자체가 아닌 플러그인 설정 파일만을 노려, 탐지 가능성을 줄임
- 깃허브(GitHub) 및 NPM 리포지터리 악용
- 공격 전략 분석
- 공급망 공격의 효율성과 표적 공격의 은밀성을 동시에 활용
- 공급망 공격: 개발자 시스템 일부만 감염시키면 광범위한 영향 가능
- 표적 공격: 특정 소수 표적만 공격해 탐지 어려움
- 장기간 잠복하며 정보 탈취를 목적으로 한 전략
- C&C 서버를 별도로 운영하여 새로운 공격 전략과 기존 검증된 기법을 병행
- 새로운 전략 실패 시에도 피해를 최소화할 수 있는 백업 플랜 마련
- 공급망 공격의 효율성과 표적 공격의 은밀성을 동시에 활용
- 보안 권고
- 기업 및 기관에서는 소프트웨어 공급망 보안 강화 필요
- 오픈소스 및 외부 패키지 사용 시 신뢰할 수 있는 출처만 사용 권장
- 자동화된 위협 탐지 시스템 도입을 통해 비정상적인 코드 및 활동 감지
- 보안 관리자들은 플러그인 설정 파일의 무결성 검사를 정기적으로 수행해야 함
- 암호화폐 산업 및 금융 업계에서는 라자루스 그룹의 표적화된 공격을 대비한 다층적 보안 전략 필요
- 특히, 암호화폐 지갑과 관련된 브라우저 확장 프로그램 사용 시 보안 강화 필요
- 최종 사용자는 출처 불분명한 링크 및 소프트웨어 다운로드를 피하고, 보안 업데이트를 즉시 적용해야 함
- 기업 및 기관에서는 소프트웨어 공급망 보안 강화 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 메타 vs 개인정보위 소송 승소의 시사점, 플랫폼사의 신뢰 구축 필요성 (0) | 2025.03.02 |
|---|---|
| 국정원, 보안기능확인서 제품 시험결과 요약서 발급 시행 (0) | 2025.03.02 |
| 딥시크 개인정보 처리방침 개정 내용과 보안 시사점 (0) | 2025.03.02 |
| 최근 발견된 다양한 스미싱 및 피싱 공격 사례와 대응 방안 (0) | 2025.03.02 |
| THN 주간 요약, Google 비밀 유출, Windows 취약점 악용, 새로운 암호화 사기 및 기타 주요 사이버 보안 뉴스(2025.02.18.) (0) | 2025.03.02 |