AppleJeus 악성코드 탐지: 암호화폐 앱으로 위장한 북한 연계 Lazarus APT의 악성 변종 확산

악명 높은 북한 지원 APT 그룹, 라자루스는 지속적으로 공격 표면을 넓히고 있으며, AppleJeus 악성코드를 배포하기 위해 가짜 암호화폐 앱을 활용하고 있습니다. 이번 최신 적대적 캠페인에서는 라자루스 해커들이 BloxHolder라는 가짜 암호화폐 앱을 사용해 AppleJeus 악성코드를 전송, 네트워크에 초기 접근을 얻고 암호화 자산을 훔치고 있습니다.

지난 4년 동안 라자루스 APT 그룹은 금융 이득을 위해 주로 암호화폐와 블록체인 사업을 공격하는 데 관심을 가졌습니다. 예를 들어, 2022년 4월에 라자루스의 TradeTraitor 캠페인 은 거래, 교환 및 투자 중심의 회사들, NFT 또는 암호화폐 플레이 투 언 게임 사업체, 그리고 개인 암호화폐 지갑 및 NFT 소유자를 대상으로 하여 주목을 받았습니다.

AppleJeus 악성코드 탐지 

라자루스 그룹은 북한 국가가 지원하는 악명 높은 해킹 조직입니다. 이 APT 그룹은 최소한 2009년부터 주목을 받아 왔으며, 사이버 전쟁, 사이버 스파이 활동 및 랜섬웨어 공격 등 여러 유명한 캠페인의 배후로 의심받고 있습니다. 강화된 AppleJeus 악성코드 버전을 배포하는 최신 라자루스 캠페인에 대해 사전 방어를 수행하려면 SOC Prime의 Detection as Code 플랫폼에서 전용 Sigma 규칙 배치를 다운로드 하십시오: 

라자루스 APT 그룹에 의한 AppleJeus 악성코드 탐지 Sigma 규칙

위의 모든 탐지 콘텐츠는 MITRE ATT&CK® 프레임워크 에 매핑되어 있으며 25 개 이상의 업계 최고 SIEM, EDR, BDP 및 XDR 경고 및 쿼리 형식으로 번역을 지원합니다. 탐지 알고리즘은 SOC Prime 팀과 우리의 숙련된 위협 보상 개발자에 의해 제공되며, 사용자의 위협 프로필 및 기술 키트에 맞는 다양한 규칙을 보장합니다. 

우리의 위협 보상 프로그램 에 가입하여 사이버 수비수로 Sigma 규칙을 작성하고, 세계 최대 위협 탐지 마켓플레이스에 이를 게시하여 기여하는 데 대한 보상을 받을 수 있습니다. SOC Prime의 위협 보상 프로그램으로 귀하는 실제로 CV를 코드로 작성하며, Sigma 및 ATT&CK 지식을 얻고 위협 사냥 및 탐지 엔지니어링 기술을 연마할 수 있습니다.

현재까지 SOC Prime 플랫폼은 라자루스 APT 집단과 관련된 도구 및 공격 기술을 탐지하는 다양한 Sigma 규칙을 집계하고 있습니다. 탐지 알고리즘을 확인하고 관련 ATT&CK 참고 자료, 위협 인텔리전스 링크 및 기타 관련 메타데이터를 확인하려면 탐지 탐색 버튼을 누르십시오.

탐지 탐색

AppleJeus 악성코드 설명: 라자루스 APT의 최신 활동 공격 분석

국가가 지원하는 북한의 라자루스 APT 그룹은, HIDDEN COBRA 로도 알려져 있으며, 네트워크와 암호화폐 사용자를 대상으로 한 새로운 사이버 공격의 물결 뒤에 있으며, BloxHolder라는 가명으로 가짜 암호화폐 앱을 배포하고 감염된 시스템에 AppleJeus 악성코드를 확산시키고 있습니다.

해킹 집단은 2018년부터 AppleJeus를 배포하여 목표 대상으로부터 암호화폐를 훔치고 있습니다. 2021년 2월, CISA, FBI 및 재무부가 공동 권고문 을 발행하여 AppleJeus 악성코드의 세부 정보와 완화 권장 사항을 제공했습니다. 이 악성코드를 전달할 책임이 있는 라자루스 APT 그룹은 전 세계 여러 산업 부문에 있는 개인 사용자와 조직을 대상으로 암호화폐 자산을 훔치려 했습니다. 이 권고에 따르면, 북한 국가가 지원하는 해킹 집단은 2018년부터 7개의 다른 AppleJeus 변종을 활용하며, 지속적으로 이를 업그레이드하고 향상된 기능으로 풍부하게 만들었습니다. 

Volexity 사이버 보안 연구자들은 2022년 6월 라자루스 위협 행위자의 새로운 활동을 처음으로 관찰했으며, Microsoft Office 문서 파일을 미끼로 사용하여 목표로 하는 암호화폐 사용자의 주의를 끌었습니다. 해커들은 암호화폐 거래 플랫폼을 위해 bloxholder[.]com이라는 새 도메인 이름을 등록했습니다. 조사는 이 사이트가 다른 합법적인 웹사이트의 순수한 클론이라는 것을 밝혀냈습니다. 사이버 보안 연구자들은 암호화폐 사용자를 유인하여 암호 앱을 다운로드하고 감염 체인을 유발하려는 MSI 파일 내의 AppleJeus 악성 변종을 관찰한 후 관련 악성 캠페인에 이름을 붙인 가짜 BloxHolder 웹사이트를 발견했습니다. 미끼 파일이 합법적인 앱을 설치하자마자 예약 작업을 만들고 시스템 폴더에 악성 파일을 떨어뜨려 AppleJeus 악성코드의 새로운 변종을 배포합니다. 

2022년 10월에 해킹 집단은 AppleJeus를 전달하기 위해 MSI 설치 프로그램 대신 Microsoft Office 문서를 활용하여 악성 캠페인을 발전시켰습니다. 최신 사이버 공격에서 라자루스 해커들은 악성코드를 로드하기 위해 연결된 DLL 사이드-로딩 기법을 적용하여 공격 역량을 강화하였으며, 이를 통해 탐지를 회피할 수 있었습니다. 또한, AppleJeus 악성코드를 퍼뜨리는 가장 최근의 캠페인에서 모든 문자열과 API 호출이 사용자 정의 암호화 알고리즘을 활용하여 난독화되며, 이는 사이버 수비수들에게 감염을 적시에 식별하는 데 또 다른 도전 과제를 제공합니다. 

악명 높은 국가 지원 라자루스 APT 그룹에 의한 증가하는 대량의 사이버 공격과 이들의 향상된 정교함은 사이버 수비자들의 궁극적인 민첩성을 요구합니다. 현재 및 발생하는 위협, 암호화폐 사용자에게 영향을 미치는 악성코드를 포함한 Sigma 규칙을 검색하려면 socprime.com 을 방문하고, 포괄적인 사이버 위협 상황과 함께 탐지 엔지니어링 및 위협 사냥을 위한 9000개 이상의 아이디어를 얻으십시오. 혹은 우리의 Cyber Monday 행사 의 일환으로 맞춤형 패키지에서 사용 가능한 탐지 스택 외에 최대 200개의 선호하는 프리미엄 Sigma 규칙을 추가로 얻으십시오. 이 행사는 12월 31일까지 유효합니다.