라자루스 해커 그룹, 새로운 데스노트 캠페인에서 타깃 전환 및 고급 기술 적용

악명 높은 북한 해킹 집단 라자루스 그룹은 APT38, 다크 서울 또는 히든 코브라로도 추적되며, 주로 암호화폐 회사를 표적으로 삼는 국가 지원의 고위험 위협 행위자로 명성을 얻었습니다. 새롭게 발견된 악성 캠페인인 DeathNote에서는 방어 조직과 자동차 및 학문 분야에 주로 초점을 맞추며 표적을 전환하고 있습니다.

라자루스 해커 스쿼드의 DeathNote 캠페인 탐지

2009년부터 사이버 위협 분야에서 주목을 받아 온 라자루스 해커들은 새로운 위협과 향상된 공격 능력으로 사이버 방어를 지속적으로 도전하고 있습니다. 최신 DeathNote 캠페인에서는 새로운 대상에 대한 실험과 더욱 정교한 도구 및 기술 사용으로 방어 세력의 초고속 대응이 요구됩니다. 조직이 인프라 내에서 적의 활동을 적시에 식별할 수 있도록 돕기 위해, SOC Prime은 최근 우리 열정적 위협 바운티 개발자인 Emre Ay:

프로세스 생성을 통한 기본 도메인 컨트롤러 정책 액세스를 통한 라자루스 APT 그룹의 발견 가능성

이 Sigma 규칙은 손상된 시스템에 관한 정보를 발견하기 위해 기본 도메인 컨트롤러의 정책에 액세스하려는 최신 라자루스 APT 그룹의 활동을 탐지합니다. 이 탐지는 최신 MITRE ATT&CK® 프레임워크 v12 와 일치하여 Discovery 전술 및 해당 그룹 정책 발견(T1615) 기술을 다룹니다. 도구 간 호환성을 보장하기 위해, 이 규칙은 20개 이상의 SIEM, EDR, XDR, BDP 솔루션으로 즉시 변환될 수 있습니다. 

탐지 및 사냥 아이디어를 수익화할 방법을 찾는 사이버 보안 전문가들은 우리의 Threat Bounty Program 을 활용하여 동종 업계 동료와 자신의 Sigma 규칙을 공유하고 집단적 전문 지식에 기여하면서 자신들의 기술을 금전적 혜택으로 전환할 수 있습니다. 

라자루스 해킹 집단에 기인하는 공격의 증가하는 수량과 끊임없이 진화하는 적의 도구 상자는 진보적인 조직이 사이버 방어 능력을 강화하고 관련 위협을 사전에 탐지하려고 노력하도록 합니다. 아래의 Dectections 탐색 버튼을 클릭하여 라자루스 그룹 활동 탐지를 위한 Sigma 규칙 전체 목록에 즉시 접근할 수 있습니다. 모든 탐지 알고리즘은 위협 조사를 단순화하기 위해 CTI, ATT&CK 링크, 실행 가능한 바이너리 및 더 관련된 메타데이터로 풍부하게 보강됩니다. 

Dectections 탐색

라자루스 해커 그룹의 공격 분석: DeathNote 캠페인 뒤에는 무엇이 있는가

악명 높은 북한의 위협 행위자는 DeathNote 캠페인과 관련된 도구 및 전략을 빠르게 진화시키고 있습니다. 최신 조사 에 따르면 라자루스는 암호화폐 관련 사업체에서 방위 계약자, 학술 기관 및 자동차 업체로 전환하여 잠재 희생자 목록을 크게 확장하고 있습니다. 

DeathNote 클러스터는 NukeSped 또는 Operation Dream Job으로도 추적되며, 피해자를 유해한 링크로 유도하거나 감염된 파일을 클릭하도록 속여 첩보용 악성 소프트웨어를 배포하는 가짜 일자리 기회를 이용합니다. 초기 캠페인 출시는 2019-2020년으로 거슬러 올라가며, 처음에는 암호화폐 시장 플레이어에 집중했습니다. DeathNote 활동의 급증은 2020년 8월 및 2021년 7월에 기록되었으며, 해커의 관심 영역을 정부, 방위 및 엔지니어링 부문으로 전환했습니다. 최신 관찰에 따르면 동유럽 국가들이 이제 공격을 받고 있으며, 모든 미끼 문서와 방위 계약자 및 외교 기관 관련 직무 설명이 라자루스에 의해 갱신되고 있습니다.

라자루스 활동의 암호화폐 벡터는 일반적으로 동일한 악성 루틴을 따릅니다. 해커 그룹은 비트코인 채굴 주제를 끌어 문서에 매크로를 심어 떨어뜨리고 손상된 인스턴스에서 Manuscrypt 백도어를 트리거합니다. 

자동차 및 학문 분야는 라자루스에 의해 방위 산업에 대한 더 광범위한 캠페인과 연결된 약간 다른 전략으로 표적이 됩니다. 이러한 공격은 종종 BLINGCAN 및 COPPERHEDGE 임플란트가 희생자의 기기에 배포되는 것으로 끝납니다. 

DeathNote와 연결된 대체 공격 킬 체인은 합법적인 PDF 읽기 앱인 SumatraPDF를 악용하여 추가 악성 활동을 진행합니다. 합법적인 소프트웨어의 악용은 라트비아 및 대한민국의 조직을 대상으로 한 공격에서 백도어 및 정보 탈취기를 전달하는 방식으로 기록되었습니다. 국후에 지원받는 행위자에게 널리 사용되는 공격 방법이며, 공급망 능력에 대한 입증된 실적이 있습니다. 예를 들어, 라자루스는 2023년 3월에 공개된 기업 VoIP 서비스 제공업체 3CX에 대한 공격 의 배후로 지목되었습니다.

악명 높은 국가 지원 라자루스 APT 그룹에 의한 증가하는 사이버 공격량과 이들의 증가하는 복잡성은 사이버 방어가 초고속 대응을 요구합니다. SOC Prime에 의존하여 APT 관련 도구 및 공격을 다루는 탐지 콘텐츠로 완전히 장비하세요. 1000개 이상의 규칙에 접근하여 국가 지원 행위자와 관련된 행동을 탐지하세요. 200개 이상의 Sigma 규칙을 무료로 받으세요. https://socprime.com/ 또는 보안 요구에 맞게 맞춤화된 온디맨드 구독을 선택하여 관련 탐지 알고리즘 전체 목록에 접근하세요. https://my.socprime.com/pricing.