라자루스 APT, Windows 업데이트와 GitHub을 악용하기 위해 다시 등장
목차:
2022년이 시작된 지 한 달이 되었지만, 공격의 감소는 보이지 않으며, 오히려 사이버 보안 분야는 활기를 띠고 있습니다. 풍경은 익숙합니다: 숨어 있는 해커들과 그들에게 휴식을 주지 않기 위해 열심히 일하고 있는 보안 실무자들.
1월 말, 새로운 공격 캠페인이 북한과 연계된 APT에 의해 시작되었으며, 이는 Malwarebytes 위협 인텔리전스 팀에 의해 발견되었습니다. 이번에 국가 지원 행위자는 Windows Update 서비스를 이용하여 악성 코드를 배포하고 GitHub을 지휘 통제 서버로 활용합니다.
히든 코브라
라자루스 그룹은 북한 정부에 의해 지원받는 악명 높은 해킹 조직입니다. 이 조직은 최소한 2009년부터 감시 대상이었으며, 사이버 전쟁, 사이버 간첩 활동, 랜섬웨어 공격을 포함한 다수의 고프로파일 캠페인에 관련되어 있는 것으로 추정됩니다.
북한의 사이버 프로그램은 다수의 악의적 사이버 클러스터에 상당한 지원을 제공함으로써 지속적인 간첩, 절도 및 공격 위협을 제기합니다. 북한 정부가 지원하는 방대한 사이버 범죄 분야에 잘못된 이름을 제거하기 위해 라자루스 그룹은 다양한 이름으로 알려져 있으며, 그 중 일부인 안다리엘, 킴수키, APT37, APT38 등은 하위 그룹에 관련되고, 일반적으로 북한 주도의 악의적 사이버 활동을 지칭하는 히든 코브라라는 이름을 사용합니다.
이 조직이 가장 자주 사용하는 방법은 악성 코드 배포, 제로 데이, 스피어 피싱, 허위 정보 및 백도어입니다.
최신 공격 킬 체인
가장 최근의 라자루스 공격은 2022년 1월 18일에 보고되었습니다. 그러나 이 캠페인이 2021년 말부터 운영되었다는 데이터를 제시합니다. 이번에 라자루스 그룹은 Windows Update와 Github을 이용하여 탐지를 피하고 PC에 악성 코드를 감염시키기 위해 Word 문서에 심어진 악의적인 매크로 구현으로 공격을 시작합니다. 보다 구체적으로, 현재 데이터는 위협 행위자들이 록히드 마틴 글로벌 코퍼레이션의 새로운 채용 기회를 제안하는 두 개의 매크로 삽입 문서를 사용하고 있음을 보여줍니다:
Lockheed_Martin_JobOpportunities.docx
Salary_Lockheed_Martin_job_opportunities_confidential.doc
희생자가 무기화된 파일을 열었을 때, 악성 코드는 목표 장치에서 시작 지속성을 확보하기 위해 일련의 주입을 실행합니다: 삽입된 매크로는 시작 폴더에 WindowsUpdateConf.lnk 파일을 떨어뜨리고 Windows/System32 폴더에 DLL 파일(wuaueng.dll)을 떨어뜨립니다.
악의적인 DLL은 탐지를 피하기 위해 Windows Update Client를 통해 실행됩니다. 보안 레이더에 남아있기 위한 또 다른 기술은 C2 통신을 위한 GitHub의 채택입니다.
최신 라자루스 공격 탐지
가능한 공격을 식별하고 최신 라자루스 스피어 피싱 타협을 해결하기 위해, 무료 시그마 규칙을 다운로드하시는 것을 추천합니다. 컨텐츠는 우리의 열정적인 위협 현상금 개발자가 릴리스했습니다. Nattatorn Chuensangarun and Onur Atali.
라자루스 APT, 프로세스 생성 통해 악의적 매크로 실행
북한의 라자루스 APT, GitHub 캠페인 파일 이벤트
라자루스 APT, Windows Update 클라이언트와 GitHub 파일 이벤트 활용
SOC Prime 플랫폼의 위협 탐지 마켓플레이스 저장소에서 라자루스 APT와 관련된 탐지 목록의 전체 내용은 여기.
SOC Prime의 Detection as Code 플랫폼에 무료로 가입하여 귀하의 보안 환경 내에서 최신 위협을 탐지하고, 로그 소스 및 MITRE ATT&CK 커버리지를 개선하며, 전반적으로 조직의 사이버 방어 역량을 강화하십시오. 자신의 시그마 규칙을 만들고 싶으십니까? 우리 위협 현상금 프로그램에 참여하여 귀하의 소중한 기여에 대한 보상을 받으세요.
