Lazarus APT의 핵심 표적: 핵 관련 조직 공격 분석

Lazarus APT targeted employees at an unnamed nuclear-related organization

Lazarus APT targeted employees at an unnamed nuclear-related organization

 

• 공격 요약
  • 대상: 핵 관련 조직의 직원
  • 시점: 2024년 1월 관찰, 2024년 6월까지 악성코드 진화 확인
  • 캠페인: Operation Dream Job (일명 NukeSped), 최소 2020년부터 활동
  • 전파 방식: 악성 페이로드가 포함된 압축 파일을 직원들에게 전달
  • 목적: 사이버 첩보 및 데이터 탈취
• 감염 경로와 악성코드 구성 요소
  • 초기 감염
    • 공격자는 ISO 파일을 사용해 탐지를 회피하고 트로이화된 VNC 소프트웨어를 배포
    • 초기 악성코드로 Ranid Downloader, MISTPEN, RollMid, LPEClient 배포
    • LPEClient 설치 이후 CookieTime 악성코드 활성화
  • 횡적 이동
    • CookieTime 악성코드를 활용해 횡적 이동 및 추가 페이로드 다운로드
    • 다운로드된 악성코드: Charamel Loader, ServiceChanger, 업데이트된 CookiePlus
  • 악성코드 기능
    • CookieTime: 초기에는 C2 명령을 실행, 이후 페이로드 다운로드에 주로 사용
    • Charamel Loader: ChaCha20 암호화를 사용해 CookieTime, CookiePlus, ForestTiger 등의 악성코드를 복호화 및 실행
    • ServiceChanger: 정당한 서비스를 종료하고 악성 DLL을 디스크에 저장, 서비스 재시작을 통해 악성코드 로드
    • CookiePlus:
      • MISTPEN의 후속 버전으로 추정되며 코드 유사성은 없지만 유사한 전술 사용
      • 다운로더로 동작하며, 실행 옵션이 확장된 고급 기능 제공
• 명령 및 제어(C2) 인프라
  • C2 메커니즘
    • 손상된 WordPress 서버가 다양한 악성코드(MISTPEN, CookiePlus 등)의 C2로 사용됨
    • C2 서버는 PHP 기반 웹 서비스를 호스팅하며, 여러 국가에 분산
• 주요 악성코드 특성과 전략
  • 모듈형 악성코드의 진화
    • CookiePlus와 같은 신규 모듈형 악성코드 도입은 Lazarus의 공격 체계 개선을 보여줌
    • CookiePlus는 다운로더처럼 동작해 포렌식 분석과 탐지를 어렵게 만듦
    • 향후 추가 플러그인을 통해 기능 확장 가능성 존재
  • 표적화된 서비스
    • ssh-agent와 같은 정당한 서비스를 악용해 악성 DLL을 사이드 로딩
    • 새로운 서비스 등록 대신 기존 서비스 악용을 선호
• 결론
  • Lazarus 그룹 전략
    • 모듈형 프레임워크와 계층화된 감염 체계를 활용해 탐지를 회피
    • 암호화, DLL 사이드 로딩 등 정교한 기술 조합
  • 방어자의 과제
    • CookiePlus는 제한된 기능으로 인해 중요한 페이로드 활동 탐지가 어려움
    • 지속적인 모듈형 악성코드 개발로 위협 증가
• 보안 권고
  • 능동적 방어
    • ISO 파일 악용 및 DLL 사이드 로딩 탐지를 위한 고급 위협 탐지 시스템 도입
    • 모듈형 악성코드 탐지를 위한 보안 솔루션 정기 업데이트
  • 사고 대응
    • 다운로더 활동에 대한 세부 포렌식 분석 실행
    • 손상된 서비스 모니터링 및 엄격한 접근 제어 적용
  • 협력 강화
    • Lazarus 그룹의 활동 관련 위협 정보를 공유해 글로벌 사이버 보안 강화