라자루스 그룹 재등장, Log4j 취약점 악용 및 MagicRAT 확산

라자루스 그룹, APT38, Dark Seoul, Hidden Cobra, Zinc로도 알려진 이 그룹은 범죄 해커들의 국가 지원 클러스터로서, 2009년 이래로 혼란을 일으켜온 고도로 숙련되고 자금 지원을 받는 집단으로 명성을 얻었습니다.

최근 캠페인에서 라자루스는 VMWare Horizon 플랫폼의 취약점을 악용한 후 새로운 MagicRAT 멀웨어를 배포했습니다. 여기에는 주목할 만한 Log4j 취약점이 포함되었습니다. 이 악명 높은 APT는 이 일련의 공격을 미국, 일본, 캐나다의 여러 에너지 기업을 대상으로 수행했습니다.

라자루스 그룹 활동 탐지

잠재적인 공격을 식별하고 새로운 라자루스 스피어 피싱 손상을 복구하기 위해, 무료 시그마 규칙 세트를 다운로드하는 옵션을 선택하십시오. 이 내용은 저희의 뛰어난 Threat Bounty 개발자인 Emir Erdogan:

라자루스 APT 그룹 활동의 매우 의심스러운 예약 작업 생성 (프로세스 생성 통한 MagicRAT 탐지)

라자루스 APT 그룹 활동의 매우 의심스러운 활동 (파일 생성 통한 MagicRAT 탐지)

라자루스 APT 그룹 RAT 사용의 매우 가능성 높은 활동 (프로세스 생성 통해)

The 시그마 규칙 은 /는 26 SIEM, EDR, XDR 솔루션으로 손쉽게 변환 가능하며 MITRE ATT&CK® 프레임워크 v.10.과 /와 일치합니다.

라자루스 APT와 관련된 모든 탐지 목록은 산업 최초의 무료 도구로, 심층적인 사이버 위협 정보 및 관련 컨텍스트를 초 단위로 검색 성능과 함께 제공하는 Cyber Threats Search Engine에서 확인할 수 있습니다. SOC Prime의 검색 엔진은 혁신적인 Detection as Code 플랫폼, 을 / 를 활용하여 즉각적인 시그마 규칙과 관련 컨텍스트 정보를 제공함으로써 SOC 전문가들이 위협 탐지 운영을 간소화할 수 있도록 돕습니다. 여기에는 MITRE ATT&CK 참조, 공격 동향 시각화, 위협 인텔리전스 통찰력 등이 포함됩니다. 더 알아보려면 탐지 탐색 버튼을 눌러보세요.

탐지 탐색  

최근 라자루스의 공격 캠페인 분석

Cisco Talos 는 북한의 라자루스 그룹이 시작한 새로운 악의적인 캠페인 개요를 발표했습니다. 공격자는 새로운 맞춤형 임플란트를 도입했는데, 이는 C++로 작성된 원격 액세스 트로이 목마입니다. MagicRAT이라고 불리는 이 멀웨어는 시스템 정찰을 수행하며, 예약 작업 생성을 통해 지속성을 확립하고, 운영자가 임의의 코드를 실행하고 파일을 수정할 수 있도록 합니다. 또한, 새로운 RAT는 추가 페이로드를 가져옵니다. 연구 데이터에 따르면, 위협 행위자는 MagicRAT 샘플과 TigerRAT과 같은 다른 맞춤형 RAT를 함께 사용합니다. 연구된 예는 인간 분석을 복잡하게 하기 위해 Qt Framework를 사용하여 프로그래밍되었습니다.

관찰된 공격 및 뉴스 보고서를 바탕으로, 이 북한의 국가 지원 집단이 다양한 도구와 기법에 더 많이 의존하며 그들의 영향을 확장하고 있으며, SOC 전문가들에게 정기적으로 문제를 일으키고 있음을 유추할 수 있습니다.

매일 우리는 최신 위협에 대한 탐지를 발표하며 보안 전문가들이 변동이 심한 위협 환경을 헤쳐 나갈 수 있도록 돕습니다. 주문형 구독 계획을 통해 원하시는 콘텐츠를 즉시 잠금 해제하여 시간을 절약하고 성능을 향상시킬 수 있습니다. 최신 트렌드에 참여하고 SOC Prime이 제공하는 업계별 솔루션으로 조직의 사이버 회복력을 강화하십시오.