Lazarus Group Spotted Targeting Nuclear Engineers with CookiePlus Malware
- 공격 개요
- Lazarus 그룹(북한 민주인민공화국과 연계, 일명 APT41, Winnti 등으로도 지칭)은 CookiePlus라 불리는 신규 모듈형 백도어를 활용해 핵 관련 조직 소속 엔지니어 최소 2인을 공격
- 이번 공격은 Operation Dream Job 혹은 NukeSped 캠페인의 일환으로, 2024년 1월 중 발생
- 주로 유망한 취업 기회 제시 후, VNC(원격 제어 유틸리티)를 위장한 악성 실행 파일 전송
- 침투 기법 및 특징
- Trojanized VNC
- “AmazonVNC.exe” 등으로 가장된 TightVNC 변형
- ISO나 ZIP 형태로 피해자에게 전달
- 실행 시, 연결 정보(서버 IP·비밀번호) 제시 후 악성 다운로드 기능 활성화
- 악성 DLL 사이드로딩
- 정상적인 UltraVNC, svchost.exe 등 실행 파일에 악성 DLL 삽입
- MISTPEN(구글 Mandiant에서 명명) 백도어가 뒤이어 배포
- LPEClient, RollMid 등 추가 페이로드 설치
- CookieTime 배포 정황
- CookieTime은 HTTP Cookie 형식의 통신으로 명령을 전달받는 백도어
- Host A 감염 후, Host C로 횡적 이동하여 추가 페이로드 투입
- Charamel Loader, ServiceChanger
- CookiePlus, CookieTime, ForestTiger 등 모듈 로딩
- 정당 서비스 중단 후 DLL 사이드로딩( ServiceChanger 기능)
- Trojanized VNC
- CookiePlus 백도어
- Notepad++ 플러그인(ComparePlus)으로 위장 또는 DirectX-Wrappers 기반
- 자체적으로 추가 페이로드(Base64+RSA) 수신·복호화해 임의의 쉘코드 또는 DLL 실행
- 실행 시 시스템 정보 수집, 메인 모듈 슬립 시간 관리 등 기능
- 이전 Lazarus 백도어(MISTPEN)와 유사한 동작 패턴
- 보안 권고
- 첨부 ZIP/ISO 파일 내 VNC 등 원격제어 툴 실행 전 신뢰성 검증
- 이메일·SNS 등을 통한 이력서, 구직 제안(“Dream Job” 키워드) 수신 시 사기 여부 확인
- 프로세스 로딩 모니터링으로 정상 실행 파일과 DLL 간 사이드로딩 탐지
- 네트워크 모니터링(HTTP Cookie-based C2 통신 등), WAF·IPS 규칙 업데이트
- 다중 인증(MFA), 권한 최소화, 정기 패치 등 내부 보안 체계 강화
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| Windows 레지스트리 모험 #5: regf 파일 형식 (0) | 2025.01.03 |
|---|---|
| 국가적 침해사고 분석 체계 구축의 필요성 (0) | 2025.01.03 |
| RiseLoader의 기술분석 (0) | 2025.01.03 |
| Cl0p, 클레오(Cleo) 취약점 악용해 데이터 유출 위협 (1) | 2025.01.03 |
| 러시아 위협 그룹 Secret Blizzard, 우크라이나 대상 공격에서 다른 그룹의 툴 재활용 (0) | 2025.01.03 |