라자루스 해커들이 배포한 트로이 목마화 된 IDA Pro 설치 프로그램 탐지하기

악명 높은 라자루스 APT가 다시 한번 공격을 가했으며, 최근 캠페인 중 보안 전문가들이 공격을 받았습니다. 국가 지원 해커들은 널리 사용되는 IDA Pro 리버스 엔지니어링 애플리케이션의 불법 복제된 버전을 활용해 연구자들의 기기를 백도어 및 원격 접근 트로이 목마(RATs)를 통해 손상시킵니다.

트로이목마화된 IDA Pro를 통한 NukeSpeed RAT 전달

ESET의 연구에 따르면, 라자루스 해커들은 합법적인 소프트웨어에 돈을 쓰지 않으려는 일부 보안 전문가들의 검소함을 노리고 있습니다. 이번에는 공격자들이 보안 전문가들이 디버깅 목적으로 자주 사용하는 IDA Pro 앱의 불법 복제 버전으로 피해자들을 유인하였습니다.

위협 행위자들은 IDA Pro 7.5 버전에 두 개의 악성 DLL(idahelp.dll and win_fw.dll)을 포함시켜 NukeSpeed RAT을 전달하도록 하였습니다. DLL들은 설치 과정에서 실행되며, Windows 작업 스케줄러를 통해 NukeSpeed 페이로드를 다운로드하는 특수 작업을 만듭니다. 실행 후 라자루스 그룹은 연구자들의 장비에서 민감한 데이터를 탈취하고, 스크린샷을 찍고, 키 입력을 기록하며 기타 악성 명령을 실행합니다.

현재, 악성 프로그램이 포함된 앱이 어떻게 배포되고 있는지는 불분명하지만, ESET는 이 캠페인이 2020년 초부터 진행되어 왔다고 믿고 있습니다.

라자루스 APT

라자루스 APT는 북한 정부를 대변하는 악명 높은 해커 집단입니다. 이 그룹은 2009년 이후로 매우 활발하게 활동하며, 금전적 이득과 정치적 개입을 목적으로 한 정교한 악성 캠페인을 개시했습니다. Sony Pictures 해킹, 방글라데시 중앙은행 강도 사건, WannaCry 공격 등 여러 획기적인 보안 사건이 이 위협 행위자와 관련이 있습니다.

사이버 보안 전문가들은 라자루스 해커들의 주요 표적 중 하나입니다. 예를 들어, 2021년 1월, 라자루스 APT는 악성 작전 을 개시하여 가짜 블로그와 다양한 가짜 소셜 미디어 계정을 사용해 위협 헌팅 애호가들에게 악성 코드를 감염시켰습니다.

트로이목마화된 IDA Pro 탐지

라자루스 공격을 예방하고 트로이목마화된 버전의 IDA Pro 앱과 관련된 악성 활동을 탐지하려면, SOC Prime 플랫폼에서 이미 제공되는 큐레이션된 Sigma 규칙 세트를 다운로드할 수 있습니다. 모든 탐지는 MITRE ATT&CK® 프레임워크에 직접 연결되며, 해당 참조 및 설명을 포함하고 있습니다.

트로이목마화된 IDA Pro 설치 프로그램

트로이목마화된 IDA Pro (dns를 통해)

라자루스 해커들, 보안 연구자들을 트로이목마화된 IDA Pro로 표적으로 삼다

Lazarus APT 그룹에 의해 배포된 트로이목마화된 IDA Pro 설치 프로그램 (프로세스 생성 경유)

Lazarus APT 그룹에 의해 배포된 트로이목마화된 IDA Pro 설치 프로그램

SOC Prime의 Detection as Code 플랫폼을 활용하여 공격에 대한 방어를 더 빠르고 효율적으로 수행하세요. 20개 이상의 지원되는 SIEM XDR 기술 내에서 최신 위협을 즉시 추적하고, 악용된 취약점 및 MITRE ATT&CK 매트릭스의 문맥에서 모든 최신 공격에 대한 인식을 높이며, 전 세계 사이버 보안 커뮤니티로부터 익명의 피드백을 받으면서 보안 작업을 간소화하세요. Sigma 규칙을 직접 제작하고 기여에 대한 보상을 받고 싶으신가요? 우리 Threat Bounty 프로그램에 참여하세요!

플랫폼으로 이동 위협 현상금 프로그램 참여