라자루스 그룹, 유럽 제조 및 전기 산업 공격

악명 높은 라자루스 APT 그룹(일명 HiddenCobra, APT37)이 다시 한번 사이버 세계를 혼란에 빠뜨리는 것으로 확인되었습니다. 이번에는 보안 분석가들이 유럽 전역의 주요 제조업체 및 전기 산업 기업을 대상으로 하는 고도로 타겟된 사이버 스파이 활동을 밝혔습니다. 

라자루스 도구세트 및 공격 시나리오

라자루스 해커가 사용한 초기 공격 벡터는 다음에서 활용된 것과 유사했습니다 Operation North Star 를 방위 및 항공우주 계약업체를 대상으로 했습니다. 특히 사이버 범죄자들은 피해자를 유인하기 위해 포괄적인 LinkedIn 사회 공학 전술을 개발했습니다. 공격자들은 국제 주요 회사의 합법적인 HR-매니저인 척하여 신뢰를 얻고 직원들을 기업 장치에서 스피어 피싱 첨부 파일을 열도록 설득했습니다. 문서나 ISO 파일이 실행될 경우, 악성 Word 문서나 ISO 파일이 악성코드 번들을 대상으로 네트워크에 떨어뜨려 해커가 횡적 이동 및 내부 정찰을 수행할 수 있도록 했습니다. 대부분의 경우, 위협 행위자들은 Mimikatz의 맞춤 버전을 사용하여 자격 증명을 덤프하는 한편, 중복 이지(예: EternalBlue)를 사용하여 지속성을 확보하고 특권을 상승시켰습니다. 그런 다음 공격자들은 민감한 데이터를 검색하기 위해 BLINDINGCAN/DRATzarus RAT을 배포했습니다. 라자루스 해커는 복잡한 C&C 인프라를 기반으로 하는 손상된 웹사이트를 통해 민감한 정보를 유출했으며, 이를 통해 APT 멤버가 탐지를 피할 수 있었습니다. 특히 대부분의 웹사이트는 공개된 익스플로잇을 통해 남용되었습니다. 보안 연구원들이 결론을 내리다, 캠페인은 비교적 오랜 기간(2020년 2월~11월) 지속되었으며 손상된 네트워크에 직접적인 피해를 입히지 않았기 때문에 사이버 스파이를 목표로 했습니다. 

라자루스 공격에 대한 탐지 콘텐츠

에미르 에르도간 최근 라자루스 APT 캠페인 탐지를 위한 독점 Sigma 규칙을 개발했으며, 이는 Threat Detection Marketplace에서 이미 제공됩니다: 

https://tdm.socprime.com/tdm/info/sYDpoPswwaR8/7TLbcHYBmo5uvpkjTltt/

규칙은 다음 플랫폼에 대한 번역을 포함합니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK:

전술: 지속성

기법: 레지스트리 실행 키/시작 폴더  (T1060)

라자루스 그룹 개요

북한의 라자루스 그룹은 김정은 정부를 위한 경제적 동기의 캠페인과 정치적으로 지향된 공격 측면에서 가장 유명한 행위자 중 하나로 알려져 있습니다. 이 그룹은 2009년부터활동해왔으며, 2014년 소니 픽처스 보안 사고, 2016년 방글라데시 중앙은행 해킹, 2017년 워너크라이 공격 등 주요 사이버 보안 사건을 뒤에 두고 있습니다. 2020년은 라자루스에게도 결실을 맺었습니다. 해커는 암호화폐 거래소에 대한 수익성 있는 캠페인, 주요 국제 기업을 목표로 한 사이버 스파이 활동, 그리고 COVID-19 백신을 개발하는 제약사에 대한 타겟 공격에 관여했습니다.

보안 솔루션과 호환되는 최고의 SOC 콘텐츠를 찾고 계십니까? 우리 서비스의 무료 구독을 받아보세요 위협 탐지 마켓플레이스. 코딩을 즐기고 위협 헌팅 이니셔티브에 기여하고 싶으십니까? SOC Prime의 위협 보상 프로그램 에 참여하여 더 안전한 미래를 만들어보세요!