Lazarus Group 공격 탐지: 해커들이 PondRAT, ThemeForestRAT, RemotePE 악성코드로 툴킷 확장

라자루스 그룹(Lazarus Group)은 북한 지원 해킹 집단으로, APT38, Hidden Cobra, Dark Seoul 등으로도 추적되며, 가장 위험한 고급 지속 위협(Advanced Persistent Threat, APT) 그룹 중 하나로 오랜 기간 명성을 쌓아왔습니다. 최소 2009년부터 활동해온 라자루스는 꾸준히 금융 기관을 목표로 삼아왔으며, 최근에는 정권의 불법 수익을 지원하기 위해 암호화폐 및 블록체인 관련 기업을 공격하고 있습니다.

최근 연구자들은 라자루스의 하위 그룹(AppleJeus, Citrine Sleet, UNC4736, Gleaming Pisces)이 여러 캠페인을 벌였음을 관찰했으며, 이들은 모두 암호화폐 거래소, 거래 플랫폼, 주요 금융 기관을 표적으로 삼았습니다. 가장 주목할 만한 사례 중 하나는 2022년 4월에 발생한 TradeTraitor 캠페인으로, 정교한 사회공학 기법을 통해 투자 회사, 지갑 사용자, NFT 이용자를 공격했습니다.

라자루스는 기존 취약점을 활용해 맞춤형 원격 접근 트로이목마(RAT)를 배포하는 전략을 일관되게 사용합니다. 최신 캠페인에서도 PondRAT, ThemeForestRAT, RemotePE 등 크로스 플랫폼 악성코드를 사회공학과 제로데이 취약점 활용을 통해 배포하며, 그룹의 지속성과 기술적 진화 수준을 보여주고 있습니다.

PondRAT, ThemeForestRAT 및 RemotePE를 활용한 라자루스 공격 탐지

사이버범죄는 2025년 말까지 전 세계적으로 연간 10.5조 달러의 피해를 초래할 것으로 예상되며, 점점 더 정교해지는 금융 동기 공격이 주요 원인입니다. 디지털 위협이 복잡해짐에 따라 라자루스와 같은 금융 중심 그룹은 새로운 악성 기법을 발명하며 수익을 극대화하고 있습니다.

SOC Prime 플랫폼에 등록하면 라자루스 그룹과 관련된 악성 활동을 탐지할 수 있는 Sigma 규칙 세트를 이용할 수 있으며, 세 가지 RAT 공격 도구를 활용할 수 있습니다. 이 탐지 규칙은 AI 기반 탐지 엔지니어링, 자동화된 위협 헌팅, 고급 위협 탐지를 지원하는 전체 제품군으로 보강되어 있습니다. 아래 탐지 규칙 확인하기 버튼을 클릭하면 즉시 관련 탐지 스택으로 이동할 수 있습니다.

탐지 규칙 확인하기

라자루스 그룹 관련 사이버 공격을 탐지하려는 보안 담당자는 Threat Detection Marketplace에서 “Lazarus” 태그를 검색하여 관련 탐지 알고리즘 전체 컬렉션에 접근할 수 있습니다.

모든 규칙은 다양한 SIEM, EDR, 데이터 레이크 기술과 호환되며, MITRE ATT&CK®에 매핑되어 위협 조사 과정을 효율화합니다. 또한, 각 규칙에는 CTI 참조, 공격 타임라인, 감사 설정, 분류 권장 사항 등 방대한 메타데이터가 포함되어 있습니다.

추가로, 보안 전문가들은 Uncoder AI를 활용해 위협 인텔 기반 탐지 엔지니어링을 자동화할 수 있습니다. Uncoder를 사용하면 Fox-IT 및 NCC Group 보고서에서 제공되는 IOC를 자동으로 헌팅 쿼리로 변환하고, 라자루스 활동을 효율적으로 조사할 수 있습니다. 또한 원시 위협 보고서 기반 탐지 논리 생성, ATT&CK 태그 예측, AI 기반 쿼리 최적화, 다중 플랫폼 탐지 콘텐츠 번역도 지원합니다.

라자루스 그룹 공격 분석

Fox-IT 및 NCC Group 연구진은 AppleJeus, Citrine Sleet, UNC4736, Gleaming Pisces와 관련된 라자루스 그룹 하위 클러스터의 새로운 활동을 확인했습니다. 이 금융 중심 하위 그룹은 최근 사회공학 캠페인을 통해 PondRAT, ThemeForestRAT, RemotePE 등 세 가지 크로스 플랫폼 악성코드를 배포했습니다.

2024년에 관찰된 이 캠페인은 주로 탈중앙화 금융(DeFi) 섹터 조직을 목표로 했으며, 결국 직원 시스템을 침해했습니다. 내부에 침투한 공격자는 원격 접근 트로이목마와 보조 도구를 사용하여 내부 탐색, 자격 증명 탈취 등 악성 활동을 수행했습니다.

공격 체인은 사회공학으로 시작되며, 라자루스 운영자는 거래 회사 직원으로 위장해 텔레그램에서 피해자를 가짜 일정 관리 사이트(Calendly, Picktime 모방)로 유도합니다. 2024년 일부 사례에서는 Chrome 제로데이 취약점이 활용된 것으로 추정되며, 이는 Citrine Sleet가 FudModule 루트킷을 배포할 때 Chrome 익스플로잇을 사용한 이전 보고와 유사합니다.

초기 접근 벡터는 완전히 확인되지 않았지만, 조사 결과 PerfhLoader라는 로더가 배포되어 PondRAT(POOLRAT의 축소 버전)을 실행한 것이 발견되었습니다. PondRAT 외에도 스크린샷 캡처 도구, 키로거, Chrome 자격 증명 탈취 도구, Mimikatz, FRPC, 프록시 소프트웨어 등 다양한 도구가 배포되었습니다.

PondRAT는 2021년부터 사용되어 왔으며, 파일 읽기/쓰기, 프로세스 실행, 쉘코드 수행 등 기본적인 RAT 기능을 제공합니다. 몇 개월 동안 라자루스는 PondRAT와 ThemeForestRAT를 함께 사용하다가, 더 은밀한 RemotePE로 전환했습니다.

배포 후, PondRAT는 ThemeForestRAT를 메모리에서 직접 로드하거나 전용 로더를 통해 실행할 수 있습니다. ThemeForestRAT는 20개 이상의 명령을 지원하여 파일 및 드라이브 열거, 프로세스 조작, 데이터 안전 삭제, 네트워크 연결 테스트, 쉘코드 주입 등 다양한 기능을 제공합니다. 또한 RDP 세션과 USB 장치 활동을 모니터링하여 환경 인식 기능을 갖추고 있습니다.

공격 체인의 마지막 단계는 RemotePE입니다. RemotePELoader와 DPAPILoader를 통해 배포되는 C++ 기반 고급 RAT로, 고가치 대상에만 사용되며 Windows Data Protection API(DPAPI)를 활용하여 환경 키를 보호하므로 원본 피해자 시스템 없이는 분석이 어렵습니다.

PondRAT에서 ThemeForestRAT, 최종적으로 RemotePE로 이어지는 이 툴 계층화는 라자루스가 간단한 로더부터 은밀하고 기능이 풍부한 악성코드로 체계적으로 도구를 적용하는 방식을 보여줍니다. 잠재적 침입을 방지하기 위해 SOC Prime 플랫폼은 AI, 자동화, 실시간 위협 인텔을 결합한 엔터프라이즈급 제품군을 제공하여 조직이 정교한 공격을 사전에 차단하고 데이터 유출 위험을 최소화할 수 있도록 지원합니다.