라자루스가 다시 한 번 미국과 유럽의 국방 조직들을 노리고 공격했다. 이번에는 엔지니어들에게 중요한 자리를 제안하는 메일을 통해서였다. 에어버스, GM, 라인메탈 등 국방 업계에서 굵직한 기업들이 사칭됐다.
[보안뉴스 문가용 기자] 북한의 악명 높은 해킹 APT인 라자루스(Lazarus)가 최근 악성 문서를 사용한 피싱 공격을 벌이다가 적발됐다. 이들이 최근 노리기 시작한 건 미국과 유럽 국가들의 엔지니어들이었다고 한다. 북미의 대형 통신사 AT&T가 이와 관련된 내용을 온라인 보고서 형태로 발표했다.
[이미지 = utoimage]
보고서의 저자 페르난도 마르티네즈(Fernando Martinez)에 의하면 라자루스는 이번 캠페인을 수행하기 위해 에어버스(Airbus), 제너럴 모터스(General Motors), 라인메탈(Rheinmetall)과 같은 덩치 크고 유명한 국방 업체들을 주로 사칭했다고 한다. “라자루스는 엔지니어를 찾고 있다는 내용의 악성 문서를 이메일에 첨부해 보냈습니다. 악성 매크로를 기반으로 하고 있는 이 문서는 캠페인이 진행되는 기간 동안 계속해서 정교하게 다듬어져 왔습니다.”
마르티네즈는 “공격자들이 엔지니어링 분야 전문가들을 겨냥해 이러한 메일들을 뿌렸다”고 말한다. “특히 정부와 국방 쪽에 관련된 인물들을 노리고 있습니다. 특정 분야 전문가들을 구인 메일로 유혹하는 방법은 라자루스의 오랜 공격 기법입니다. 지난 2월에도 국방 기업의 주요 데이터를 노리기 위해 비슷한 수법을 통해 스레트니들(ThreatNeedle)이라는 멀웨어를 심기도 했었고, 보잉(Boeing)이나 BAE를 사칭하기도 했었습니다. 지금은 사칭 대상이 라인메탈, GM, 에어버스로 바뀐 상황입니다.”
이번 캠페인에 발견된 악성 문서는 총 3건으로 다음과 같다.
1) Rheinmetall_job_requirements.doc(발견자는 이셋(ESET))
2) General_motors_cars.doc(발견자는 @Internaut)
3) Airbus_job_opportunity_confidential.doc(발견자는 360코어스(360CoreS))
이 셋은 C&C 통신 구조면에서 유사성이 상당하지만 악성 행위를 발동시키는 방식 자체는 다르다고 한다.
라인메탈을 사칭한 문건의 경우, 공격자가 궁극적으로 활용하는 페이로드는 Mavinject.exe로 정상적인 윈도 요소로, 예전부터 공격자들이 실행되고 있는 프로세스에 임의 코드를 삽입하는 데에 악용하기도 했었다. 또한 공격자들은 미리 침해해 둔 도메인을 C&C 서버로 활용하여 Mavinject.exe 남용 공격을 진행했다고 마르티네즈는 설명한다.
GM을 사칭한 문건의 경우 라인메탈 사칭 문서와 전체적으로 비슷했는데, C&C 통신 방식에서만 차이점을 보였다. 에어버스를 사칭한 문서의 경우에도 정상적인 윈도용 유틸리티가 악용하도록 매크로가 짜여져 있는데, 이 경우 문제의 유틸리티는 Certutil이다. “이 페이로드를 explorer.exe라는 프로세스를 통해 실행하더군요.”
피해자들이 악성 문서를 엶으로써 페이로드가 피해자의 PC에 올라탄 이후에는 페이로드가 실행된다. 에어버스를 사칭한 문서의 경우, 페이로드는 3초 정도 쉬었다가 발동되는데, 그 결과 .inf 파일이 생성된다. 그리고 C&C 서버로 신호를 보낸다. 이 때 감염의 정도가 어느 정도 되는지 알리는 정보도 함께 전송하면서 임시 파일들을 전부 삭제한다. 이 때문에 악성 행위들을 탐지하는 것이 더 어려워진다.
마르티네즈는 “엔지니어링 전문가들에 대한 공격이 이번으로 멈출 것으로 보이지 않는다”며 “앞으로도 계속해서 비슷한 수법으로 다른 분야 전문가들을 노리는 공격을 이어갈 것이 예상된다”고 말한다. “국방 관련 정보를 계속해서 노리는 이유는 북한 정부의 움직임을 통해 보다 명확히 이해될 것입니다. 그 때까지 라자루스는 점점 더 발전된 방법으로 끊임없이 공격을 가할 것으로 보이니 피싱에 대한 방어책을 탄탄히 다듬을 필요가 있습니다.”
3줄 요약
1. 구인 메일로 가장한 라자루스의 피싱 공격, 미국과 유럽의 엔지니어들 노림.
2. 에어버스, GM, 라인메탈을 사칭한 경우 늘어남.
3. 노리는 건 국방 산업. 엔지니어들을 계속해서 노리는 이유는 앞으로 더 명확해질 것.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 북한의 악명 높은 해킹 APT인 라자루스(Lazarus)가 최근 악성 문서를 사용한 피싱 공격을 벌이다가 적발됐다. 이들이 최근 노리기 시작한 건 미국과 유럽 국가들의 엔지니어들이었다고 한다. 북미의 대형 통신사 AT&T가 이와 관련된 내용을 온라인 보고서 형태로 발표했다.
[이미지 = utoimage]
보고서의 저자 페르난도 마르티네즈(Fernando Martinez)에 의하면 라자루스는 이번 캠페인을 수행하기 위해 에어버스(Airbus), 제너럴 모터스(General Motors), 라인메탈(Rheinmetall)과 같은 덩치 크고 유명한 국방 업체들을 주로 사칭했다고 한다. “라자루스는 엔지니어를 찾고 있다는 내용의 악성 문서를 이메일에 첨부해 보냈습니다. 악성 매크로를 기반으로 하고 있는 이 문서는 캠페인이 진행되는 기간 동안 계속해서 정교하게 다듬어져 왔습니다.”
마르티네즈는 “공격자들이 엔지니어링 분야 전문가들을 겨냥해 이러한 메일들을 뿌렸다”고 말한다. “특히 정부와 국방 쪽에 관련된 인물들을 노리고 있습니다. 특정 분야 전문가들을 구인 메일로 유혹하는 방법은 라자루스의 오랜 공격 기법입니다. 지난 2월에도 국방 기업의 주요 데이터를 노리기 위해 비슷한 수법을 통해 스레트니들(ThreatNeedle)이라는 멀웨어를 심기도 했었고, 보잉(Boeing)이나 BAE를 사칭하기도 했었습니다. 지금은 사칭 대상이 라인메탈, GM, 에어버스로 바뀐 상황입니다.”
이번 캠페인에 발견된 악성 문서는 총 3건으로 다음과 같다.
1) Rheinmetall_job_requirements.doc(발견자는 이셋(ESET))
2) General_motors_cars.doc(발견자는 @Internaut)
3) Airbus_job_opportunity_confidential.doc(발견자는 360코어스(360CoreS))
이 셋은 C&C 통신 구조면에서 유사성이 상당하지만 악성 행위를 발동시키는 방식 자체는 다르다고 한다.
라인메탈을 사칭한 문건의 경우, 공격자가 궁극적으로 활용하는 페이로드는 Mavinject.exe로 정상적인 윈도 요소로, 예전부터 공격자들이 실행되고 있는 프로세스에 임의 코드를 삽입하는 데에 악용하기도 했었다. 또한 공격자들은 미리 침해해 둔 도메인을 C&C 서버로 활용하여 Mavinject.exe 남용 공격을 진행했다고 마르티네즈는 설명한다.
GM을 사칭한 문건의 경우 라인메탈 사칭 문서와 전체적으로 비슷했는데, C&C 통신 방식에서만 차이점을 보였다. 에어버스를 사칭한 문서의 경우에도 정상적인 윈도용 유틸리티가 악용하도록 매크로가 짜여져 있는데, 이 경우 문제의 유틸리티는 Certutil이다. “이 페이로드를 explorer.exe라는 프로세스를 통해 실행하더군요.”
피해자들이 악성 문서를 엶으로써 페이로드가 피해자의 PC에 올라탄 이후에는 페이로드가 실행된다. 에어버스를 사칭한 문서의 경우, 페이로드는 3초 정도 쉬었다가 발동되는데, 그 결과 .inf 파일이 생성된다. 그리고 C&C 서버로 신호를 보낸다. 이 때 감염의 정도가 어느 정도 되는지 알리는 정보도 함께 전송하면서 임시 파일들을 전부 삭제한다. 이 때문에 악성 행위들을 탐지하는 것이 더 어려워진다.
마르티네즈는 “엔지니어링 전문가들에 대한 공격이 이번으로 멈출 것으로 보이지 않는다”며 “앞으로도 계속해서 비슷한 수법으로 다른 분야 전문가들을 노리는 공격을 이어갈 것이 예상된다”고 말한다. “국방 관련 정보를 계속해서 노리는 이유는 북한 정부의 움직임을 통해 보다 명확히 이해될 것입니다. 그 때까지 라자루스는 점점 더 발전된 방법으로 끊임없이 공격을 가할 것으로 보이니 피싱에 대한 방어책을 탄탄히 다듬을 필요가 있습니다.”
3줄 요약
1. 구인 메일로 가장한 라자루스의 피싱 공격, 미국과 유럽의 엔지니어들 노림.
2. 에어버스, GM, 라인메탈을 사칭한 경우 늘어남.
3. 노리는 건 국방 산업. 엔지니어들을 계속해서 노리는 이유는 앞으로 더 명확해질 것.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
