.gif)
2025년 11월 이후 美 의료·비영리 기관 타깃으로 평균 26만 달러 몸값 요구
랜섬웨어 개발 대신 기성 RaaS 플랫폼 활용하는 ‘실용주의’ 전술 선회
[보안뉴스 김형근 기자] 북한 연계 해커 조직인 라자루스(Lazarus)가 서비스형 랜섬웨어(RaaS) ‘메두사’(Medusa)를 활용해 미국 의료 기관과 중동 기업을 공격한 정황이 확인됐다.
[출처: gettyimagesbank]
글로벌 보안 기업 시만텍(Symantec)과 카본블랙(Carbon Black)의 공동 조사에 따르면, 라자루스는 최근 중동의 한 기업을 상대로 메두사 랜섬웨어를 유포했으며, 미국 의료 기관 한 곳도 침투를 시도한 것으로 나타났다. 메두사는 2023년 스피어윙(Spearwing) 조직이 운영을 시작한 RaaS 플랫폼으로, 현재까지 366개 이상의 기관을 공격한 이력이 있다.
메두사 유출 사이트(Leak Site) 분석 결과, 2025년 11월부터 미국 내 의료 및 비영리 단체 4곳이 공격 대상이 된 것으로 나타났고, 이들에게 요구한 평균 몸값은 26만달러(약 3억5000만원) 수준인 것으로 파악됐다.
이번 공격은 라자루스의 전술적 변화를 보여준다. 과거 안다리엘(Andariel)과 같은 산하 조직이 마우이(Maui)나 홀리고스트(H0lyGh0st) 등 자체 개발한 랜섬웨어를 주로 사용했던 것과 달리, 기성 RaaS 플랫폼을 채택하는, 이른바 ‘실용주의’(Pragmatism) 노선으로 선회한 것이다.
공격 인프라에서는 기성 랜섬웨어와 함께 라자루스 전용 도구들이 다수 발견되며 공격 배후가 특정됐다. 권한 탈취를 위한 미미카츠(Mimikatz)를 비롯해 라자루스 전용 커스텀 백도어인 커백커(Comebacker), 원격 제어 트로이목마(RAT)인 블라인딩캔(BLINDINGCAN)이 핵심 도구로 활용됐다. 또, 정보 탈취 도구인 인포훅(InfoHook)과 브라우저에 저장된 비밀번호를 탈취하는 크롬스틸러(ChromeStealer)를 동원해 피해 시스템의 권한을 장악했다.
이번 공격은 특정 라자루스 하위 그룹과 관련이 없는 것으로 보이지만, 공격 방식 자체는 안다리엘 공격과 유사성을 보인다. 일반적으로 해커 조직즐은 평판 관리를 위해 의료 기관이나 비영리 단체 공격을 자제하는데, 라자루스는 도덕적 제약 없이 침해 활동을 지속하고 있다.
보안업계는 북한의 사이버범죄가 국제적 제재 속에서 더욱 탐욕스럽게 진화하고 있다고 지적하면서 글로벌 차원의 공조가 절실하다고 전했다.
[김형근 기자(editor@boannews.com)]
랜섬웨어 개발 대신 기성 RaaS 플랫폼 활용하는 ‘실용주의’ 전술 선회
[보안뉴스 김형근 기자] 북한 연계 해커 조직인 라자루스(Lazarus)가 서비스형 랜섬웨어(RaaS) ‘메두사’(Medusa)를 활용해 미국 의료 기관과 중동 기업을 공격한 정황이 확인됐다.
[출처: gettyimagesbank]
글로벌 보안 기업 시만텍(Symantec)과 카본블랙(Carbon Black)의 공동 조사에 따르면, 라자루스는 최근 중동의 한 기업을 상대로 메두사 랜섬웨어를 유포했으며, 미국 의료 기관 한 곳도 침투를 시도한 것으로 나타났다. 메두사는 2023년 스피어윙(Spearwing) 조직이 운영을 시작한 RaaS 플랫폼으로, 현재까지 366개 이상의 기관을 공격한 이력이 있다.
메두사 유출 사이트(Leak Site) 분석 결과, 2025년 11월부터 미국 내 의료 및 비영리 단체 4곳이 공격 대상이 된 것으로 나타났고, 이들에게 요구한 평균 몸값은 26만달러(약 3억5000만원) 수준인 것으로 파악됐다.
이번 공격은 라자루스의 전술적 변화를 보여준다. 과거 안다리엘(Andariel)과 같은 산하 조직이 마우이(Maui)나 홀리고스트(H0lyGh0st) 등 자체 개발한 랜섬웨어를 주로 사용했던 것과 달리, 기성 RaaS 플랫폼을 채택하는, 이른바 ‘실용주의’(Pragmatism) 노선으로 선회한 것이다.
공격 인프라에서는 기성 랜섬웨어와 함께 라자루스 전용 도구들이 다수 발견되며 공격 배후가 특정됐다. 권한 탈취를 위한 미미카츠(Mimikatz)를 비롯해 라자루스 전용 커스텀 백도어인 커백커(Comebacker), 원격 제어 트로이목마(RAT)인 블라인딩캔(BLINDINGCAN)이 핵심 도구로 활용됐다. 또, 정보 탈취 도구인 인포훅(InfoHook)과 브라우저에 저장된 비밀번호를 탈취하는 크롬스틸러(ChromeStealer)를 동원해 피해 시스템의 권한을 장악했다.
이번 공격은 특정 라자루스 하위 그룹과 관련이 없는 것으로 보이지만, 공격 방식 자체는 안다리엘 공격과 유사성을 보인다. 일반적으로 해커 조직즐은 평판 관리를 위해 의료 기관이나 비영리 단체 공격을 자제하는데, 라자루스는 도덕적 제약 없이 침해 활동을 지속하고 있다.
보안업계는 북한의 사이버범죄가 국제적 제재 속에서 더욱 탐욕스럽게 진화하고 있다고 지적하면서 글로벌 차원의 공조가 절실하다고 전했다.
[김형근 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
