3줄 요약
북한 연계 해킹조직 ‘라자루스’의 백도어 발견
주로 핵 연구소나 방위산업체 위주로 사이버 공격
“고급 솔루션과 글로벌 협력의 중요성 재확인한 계기”
[보안뉴스 조재호 기자] 핵 시설 근무자 대상 북한의 사이버 공격이 감지됐다.
카스퍼스키 글로벌 연구 분석팀(GReAT)은 최근 북한과 연계된 해킹 조직 라자루스(Lazarus)가 새로운 모듈식 백도어 ‘CookiePlus’를 활용, 핵 관련 시설 및 방위산업 근무자들을 대상으로 사이버 공격을 감행했다고 최근 밝혔다.
▲ 피해자 호스트에서 생성된 악성 파일의 경로 [이미지=카스퍼스키]
이번 공격은 ‘Operation DreamJob’ 또는 ‘DeathNote’로 알려진 라자루스의 지속적인 캠페인의 일환으로, 2019년부터 시작됐다. 주로 암호화폐 관련 기업을 표적으로 삼던 공격은 2024년 들어 IT 및 방위산업으로 확대됐다. 최근에는 브라질 원자력 연구기관과 베트남 IT 기업의 직원들을 표적으로 삼았다.
공격자들은 유명 항공우주 및 방위 기업의 기술평가를 위장해 악성코드를 배포했는데, 주로 LinkedIn과 같은 구직 플랫폼을 통해 전달된 것으로 추정된다. 감염 체인은 다운로더, 로더, 백도어 등 다양한 악성 소프트웨어를 포함한 복잡한 구조로 이뤄졌고 변조된 가상 네트워크 컴퓨팅(VNC)을 활용해 다단계 공격을 수행했다.
특히, 새롭게 발견된 ‘CookiePlus’ 백도어는 오픈 소스 Notepad++ 플러그인인 ComparePlus로 위장했다. 이 백도어는 시스템 정보를 수집하고 메인 모듈의 실행 일정을 조정하며 특정 시간 동안 대기 상태를 유지하는 등의 특징을 지녔다.
이효은 카스퍼스키 한국 지사장은 “라자루스는 오랫동안 글로벌 사이버보안에 큰 위협을 주는 존재로 이번 Operation DreamJob의 진화는 그들의 끈질긴 작전과 중요 산업을 겨냥한 전략적인 접근 방식을 보여준다”며 “조직들은 위협 정보를 활용하고 고급 사이버보안 솔루션을 통해 이들의 전술을 앞서 나가야 하며, 정교한 위협에 대응하기 위한 글로벌 협력의 중요성을 다시 한번 확인시켜준다”고 밝혔다.
이번 라자루스의 새로운 캠페인에 대한 자세한 내용은 카스퍼스키의 Securelist에서 확인할 수 있다.
[조재호 기자(sw@boannews.com)]
북한 연계 해킹조직 ‘라자루스’의 백도어 발견
주로 핵 연구소나 방위산업체 위주로 사이버 공격
“고급 솔루션과 글로벌 협력의 중요성 재확인한 계기”
[보안뉴스 조재호 기자] 핵 시설 근무자 대상 북한의 사이버 공격이 감지됐다.
카스퍼스키 글로벌 연구 분석팀(GReAT)은 최근 북한과 연계된 해킹 조직 라자루스(Lazarus)가 새로운 모듈식 백도어 ‘CookiePlus’를 활용, 핵 관련 시설 및 방위산업 근무자들을 대상으로 사이버 공격을 감행했다고 최근 밝혔다.
▲ 피해자 호스트에서 생성된 악성 파일의 경로 [이미지=카스퍼스키]
이번 공격은 ‘Operation DreamJob’ 또는 ‘DeathNote’로 알려진 라자루스의 지속적인 캠페인의 일환으로, 2019년부터 시작됐다. 주로 암호화폐 관련 기업을 표적으로 삼던 공격은 2024년 들어 IT 및 방위산업으로 확대됐다. 최근에는 브라질 원자력 연구기관과 베트남 IT 기업의 직원들을 표적으로 삼았다.
공격자들은 유명 항공우주 및 방위 기업의 기술평가를 위장해 악성코드를 배포했는데, 주로 LinkedIn과 같은 구직 플랫폼을 통해 전달된 것으로 추정된다. 감염 체인은 다운로더, 로더, 백도어 등 다양한 악성 소프트웨어를 포함한 복잡한 구조로 이뤄졌고 변조된 가상 네트워크 컴퓨팅(VNC)을 활용해 다단계 공격을 수행했다.
특히, 새롭게 발견된 ‘CookiePlus’ 백도어는 오픈 소스 Notepad++ 플러그인인 ComparePlus로 위장했다. 이 백도어는 시스템 정보를 수집하고 메인 모듈의 실행 일정을 조정하며 특정 시간 동안 대기 상태를 유지하는 등의 특징을 지녔다.
이효은 카스퍼스키 한국 지사장은 “라자루스는 오랫동안 글로벌 사이버보안에 큰 위협을 주는 존재로 이번 Operation DreamJob의 진화는 그들의 끈질긴 작전과 중요 산업을 겨냥한 전략적인 접근 방식을 보여준다”며 “조직들은 위협 정보를 활용하고 고급 사이버보안 솔루션을 통해 이들의 전술을 앞서 나가야 하며, 정교한 위협에 대응하기 위한 글로벌 협력의 중요성을 다시 한번 확인시켜준다”고 밝혔다.
이번 라자루스의 새로운 캠페인에 대한 자세한 내용은 카스퍼스키의 Securelist에서 확인할 수 있다.
[조재호 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
