3줄 요약
1. 암호화폐 노리는 北 라자루스.
2. 깃허브와 NPM 통해 퍼트리되, 목표 정조준.
3. 전통의 C&C 전략 병행..보험 갖춰.
[보안뉴스 문가용 기자] 최소 2024년 12월 말부터 북한 해킹 그룹 라자루스(Lazarus)가 새 자바스크립트 임플란트를 사용해 미국과 유럽, 아시아를 공격하고 있다. 현재까지 확인된 피해 조직만 233개다. 멀웨어 이름은 마스테크1(Marstech1)으로, 정보 탈취 기능을 가지고 있다. 웹사이트나 오픈소스 패키지에 임베드 된 채 퍼지고 있다.
[자료: gettyimagesbank]
캠페인 첫 발견자 보안 업체 시큐어스코어카드(SecureScorecard)는 라자루스 최종 목표를 암호화폐 지갑 관련 정보로 결론 짓고 있다. 특히 메타마스크(MetaMask)라고 하는 암호화폐 지갑 정보가 주요 표적인 것으로 분석됐다. 그 외 엑소더스(Exodus)와 아토믹(Atomic) 지갑들도 공격 대상인 것으로 추정된다.
마스테크1을 퍼트리기 위해 라자루스는 깃허브와 NPM 리포지터리를 악용했다. 정상 계정을 통해 업로드 한 패키지들 속에 악성 코드가 숨겨져 있었던 것. 계정 이름은 석세스프렌드(SuccessFriend)로 “웹 개발 및 암호화폐에 관심이 깊다”는 자기 소개가 붙어 있다. 작년 7월부터 활동을 시작했고, 2월 1일 경부터 보이지 않는 상태다.
마스테크1을 유포하기 전까지 석세스프렌드는 여러 프로젝트에 일반 개발자처럼 참여해왔다. 특히 익명화 관련 분야에서 활발한 모습을 보였다. ‘웹 개발’, ‘암호화폐’, ‘익명화’는 북한 공격자들의 전문 분야이기도 해서 시큐어스코어카드는 석세스프렌드를 북한 공격자들의 공공 리포지터리용 페르소나 중 하나로 파악하고 있다.
특히 라자루스는 리포지터리를 노리는 등 공급망 공격 전략을 채용했으면서도 공격 표적을 정확히 지정했다. 공급망 공격의 가장 큰 장점은 ‘효율’이다. 개발자단 시스템 일부만 감염시키면 그 영향이 소프트웨어 공급망을 타고 광범위하게 퍼져나가기 때문. 특정 소수 표적만 노리는 공격과는 어울리지 않는다.
“마스테크1 샘플에 코드 리포지터리에 등장한 건 여태까지 겨우 두 번이었습니다. 게다가 크로미움 기반 브라우저들만 노리도록 설계됐습니다. 공격할 브라우저를 찾은 후에는 브라우저 자체가 아니라 플러그인 설정 파일들만 노립니다. 메타마스크와 엑소더스 등의 암호화폐 지갑들이 크로미움 브라우저 플러그인 형태로 설치되기 때문입니다.” 시큐리티스코어카드의 설명이다.
소수 표적 공격의 장점은 발견과 공론화에 오랜 시간이 걸린다는 것이다. 정보 탈취 공격은 멀웨어를 피해 시스템 내부에 최대한 오래 잠복시켜 장기간 데이터를 빼돌려야 하기 때문에 들키지 않는 게 제일 중요하다. 암호화폐 지갑 정보를 노리는 공격과 잘 어울린다. 라자루스가 공급망 공격의 효율성과 표적 공격의 은밀성을 동시에 노린 것으로 추정된다. “공급망 공격이라는 전략을 한층 고도화시켰습니다.”
그러나 라자루스는 보험도 잊지 않았다. 새 멀웨어를 새 전략으로 퍼트렸을 때 리스크가 있을 수 있다는 걸 감안해 C&C 서버를 따로 마련해 별도의 공격을 동시에 수행한 것이다. 새 작전과 검증된 기법을 병행함으로써 손해를 최소화 한 것으로, 치밀함도 엿볼 수 있다. 불과 수년 전만 하더라도 북한 해커들은 러시아나 중국 공격자들보다 한 수 아래로 여겨졌었다. 그 기준은 공격 흔적 은닉과 공격 성공률(혹은 수익률)이었다. 이제는 그런 평가가 무색할 지경.
흥미로운 건 리포지터리에서 발견되는 임플란트와 C&C 서버를 통해 퍼지는 임플란트의 버전이 다르다는 것이다. 아직 개발이 완료되지 않았기 때문인 것으로 추정된다. 더 무서운 무기가 등장할 가능성이 높다는 의미다.
“라자루스는 최근 가장 빠르게 진화하는 공격 단체입니다. 공격 전략도 다양하게 응용할 줄 알고, 새 전략에 따라 알맞은 해킹 도구도 스스로 개발할 줄 압니다. 그런 라자루스가 수년 째 금융 업계와 암호화폐 산업을 정조준하고 있습니다. 이 점을 늘 염두에 두고 보안 아키텍처를 수립하는 게 이제는 ‘디폴트’입니다.”
이번에 라자루스가 새롭게 선보인 임플란트와 새 전략에 대한 보다 상세한 내용은 이번 주 20일에 발행되는 프리미엄 리포트를 통해 열람하실 수 있습니다.
[국제부 문가용 기자(globoan@boannews.com)]
1. 암호화폐 노리는 北 라자루스.
2. 깃허브와 NPM 통해 퍼트리되, 목표 정조준.
3. 전통의 C&C 전략 병행..보험 갖춰.
[보안뉴스 문가용 기자] 최소 2024년 12월 말부터 북한 해킹 그룹 라자루스(Lazarus)가 새 자바스크립트 임플란트를 사용해 미국과 유럽, 아시아를 공격하고 있다. 현재까지 확인된 피해 조직만 233개다. 멀웨어 이름은 마스테크1(Marstech1)으로, 정보 탈취 기능을 가지고 있다. 웹사이트나 오픈소스 패키지에 임베드 된 채 퍼지고 있다.
[자료: gettyimagesbank]
캠페인 첫 발견자 보안 업체 시큐어스코어카드(SecureScorecard)는 라자루스 최종 목표를 암호화폐 지갑 관련 정보로 결론 짓고 있다. 특히 메타마스크(MetaMask)라고 하는 암호화폐 지갑 정보가 주요 표적인 것으로 분석됐다. 그 외 엑소더스(Exodus)와 아토믹(Atomic) 지갑들도 공격 대상인 것으로 추정된다.
마스테크1을 퍼트리기 위해 라자루스는 깃허브와 NPM 리포지터리를 악용했다. 정상 계정을 통해 업로드 한 패키지들 속에 악성 코드가 숨겨져 있었던 것. 계정 이름은 석세스프렌드(SuccessFriend)로 “웹 개발 및 암호화폐에 관심이 깊다”는 자기 소개가 붙어 있다. 작년 7월부터 활동을 시작했고, 2월 1일 경부터 보이지 않는 상태다.
마스테크1을 유포하기 전까지 석세스프렌드는 여러 프로젝트에 일반 개발자처럼 참여해왔다. 특히 익명화 관련 분야에서 활발한 모습을 보였다. ‘웹 개발’, ‘암호화폐’, ‘익명화’는 북한 공격자들의 전문 분야이기도 해서 시큐어스코어카드는 석세스프렌드를 북한 공격자들의 공공 리포지터리용 페르소나 중 하나로 파악하고 있다.
특히 라자루스는 리포지터리를 노리는 등 공급망 공격 전략을 채용했으면서도 공격 표적을 정확히 지정했다. 공급망 공격의 가장 큰 장점은 ‘효율’이다. 개발자단 시스템 일부만 감염시키면 그 영향이 소프트웨어 공급망을 타고 광범위하게 퍼져나가기 때문. 특정 소수 표적만 노리는 공격과는 어울리지 않는다.
“마스테크1 샘플에 코드 리포지터리에 등장한 건 여태까지 겨우 두 번이었습니다. 게다가 크로미움 기반 브라우저들만 노리도록 설계됐습니다. 공격할 브라우저를 찾은 후에는 브라우저 자체가 아니라 플러그인 설정 파일들만 노립니다. 메타마스크와 엑소더스 등의 암호화폐 지갑들이 크로미움 브라우저 플러그인 형태로 설치되기 때문입니다.” 시큐리티스코어카드의 설명이다.
소수 표적 공격의 장점은 발견과 공론화에 오랜 시간이 걸린다는 것이다. 정보 탈취 공격은 멀웨어를 피해 시스템 내부에 최대한 오래 잠복시켜 장기간 데이터를 빼돌려야 하기 때문에 들키지 않는 게 제일 중요하다. 암호화폐 지갑 정보를 노리는 공격과 잘 어울린다. 라자루스가 공급망 공격의 효율성과 표적 공격의 은밀성을 동시에 노린 것으로 추정된다. “공급망 공격이라는 전략을 한층 고도화시켰습니다.”
그러나 라자루스는 보험도 잊지 않았다. 새 멀웨어를 새 전략으로 퍼트렸을 때 리스크가 있을 수 있다는 걸 감안해 C&C 서버를 따로 마련해 별도의 공격을 동시에 수행한 것이다. 새 작전과 검증된 기법을 병행함으로써 손해를 최소화 한 것으로, 치밀함도 엿볼 수 있다. 불과 수년 전만 하더라도 북한 해커들은 러시아나 중국 공격자들보다 한 수 아래로 여겨졌었다. 그 기준은 공격 흔적 은닉과 공격 성공률(혹은 수익률)이었다. 이제는 그런 평가가 무색할 지경.
흥미로운 건 리포지터리에서 발견되는 임플란트와 C&C 서버를 통해 퍼지는 임플란트의 버전이 다르다는 것이다. 아직 개발이 완료되지 않았기 때문인 것으로 추정된다. 더 무서운 무기가 등장할 가능성이 높다는 의미다.
“라자루스는 최근 가장 빠르게 진화하는 공격 단체입니다. 공격 전략도 다양하게 응용할 줄 알고, 새 전략에 따라 알맞은 해킹 도구도 스스로 개발할 줄 압니다. 그런 라자루스가 수년 째 금융 업계와 암호화폐 산업을 정조준하고 있습니다. 이 점을 늘 염두에 두고 보안 아키텍처를 수립하는 게 이제는 ‘디폴트’입니다.”
이번에 라자루스가 새롭게 선보인 임플란트와 새 전략에 대한 보다 상세한 내용은 이번 주 20일에 발행되는 프리미엄 리포트를 통해 열람하실 수 있습니다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
