라자루스, 한국의 화학 부문 및 IT 산업 표적: 시그마 기반 탐지 콘텐츠
목차:
악명 높은 APT 그룹, 라자루스, 북한 정부의 후원을 받은, 공격 표면을 확장하여 IT 조직과 함께 주로 한국의 화학 부문을 표적으로 삼습니다. 연구원들은 최신 캠페인이 라자루스의 일부라고 믿고 있습니다. 드림잡 작전 계획은 2020년 8월에 감지되었습니다.
라자루스 활동 탐지
SOC Prime는 위험 현상금 개발자들이 제작한 라자루스 APT 활동을 탐색하기 위한 일련의 Sigma 규칙을 출시했습니다. Osman Demir and Nattatorn Chuensangarun, 항상 새로운 위협을 주시하고 있습니다. 라자루스 APT의 최근 공격과 관련된 악성 발견을 스캔하기 위해 다음 탐지 콘텐츠를 활용하세요:
스케줄된 작업 추가로 인한 의심스러운 라자루스 APT 지속성 (보안 경유) – 피해자의 시스템에서 스케줄된 작업 생성과 관련된 라자루스 APT 그룹의 존재를 추적합니다
연관된 파일 탐지에 의한 가능성 있는 라자루스 그룹 활동 [화학 산업 대상으로] (파일_이벤트 경유) – 이 규칙은 관련된 악성 파일과 관련된 라자루스 활동을 밝힙니다
스크린샷(SiteShoter) 위한 가능성 있는 라자루스 그룹 실행 웹 페이지 (프로세스_생성 경유) – 악성 .dat 파일 사용과 관련된 라자루스 활동을 발견합니다
시스템 관리 소프트웨어 INISAFE Web EX Client에 주입하여 실행한 가능성 있는 라자루스 그룹 실행 (프로세스_생성 경유) – INISAFE Web EX Client에 Dll 파일을 주입함으로써 라자루스 해커가 남긴 흔적을 식별합니다
시스템 서비스 생성으로 의심스러운 라자루스 APT 실행 (프로세스_생성 경유) – 피해자의 시스템에서 시스템 서비스 생성과 관련된 라자루스 APT 그룹 활동을 감지합니다
화학 부문 대상으로 생성된 스케줄된 작업에 의해 가능성 있는 라자루스 그룹 지속성 (프로세스_생성 경유) – 탐지는 그들의 지속성을 확보하려는 적대자의 시도로 표시된 라자루스 그룹 활동을 사로잡습니다.
SOC Prime 플랫폼의 위협 탐지 마켓플레이스 저장소에서 라자루스 APT와 관련된 탐지 콘텐츠 업데이트를 따라가세요 여기. Sigma 또는 Yara 기반의 악성 소프트웨어 탐지 작업을 하고 있는 위협 헌터인가요? Threat Detection Marketplace 저장소를 통해 규칙을 공유하고 다른 많은 이점과 함께 상당한 수입 흐름으로 이끌 수 있도록 커뮤니티 지원을 받기 위해 우리 위협 현상금 프로그램에 참여하세요.
드림잡 작전
라자루스 활동은 드림잡 작전 피해자를 해로운 링크에 따르도록 속이거나 감염된 파일을 클릭하게 하여 스파이웨어를 배포하는 가짜 직업 기회를 악용하는 것을 수반합니다. Symantec 연구원들은 이 라자루스 활동 지사를 Pompilus로 명명했습니다. 캠페인 시작은 2020년 여름까지 거슬러 올라갑니다.
의 활동 급증이 드림잡 작전 2020년 8월과 2021년 7월에 나타났으며 이전 캠페인은 정부, 방위 및 엔지니어링 부문을 목표로 했습니다. 현재 캠페인은 2022년 초에 시작되었으며, 이전의 ‘자매’ 캠페인과 동일한 도구 모음과 기술을 공유하며 여전히 진행 중입니다.
라자루스 그룹의 최근 킬 체인 공격 분석
북한과 관련된 국가 지원 APT는 적어도 2009년부터 주목받고 있으며 사이버 스파이 활동을 포함한 고위 프로필 공격에 관여하고 있습니다. 2022년의 전환점에서, 라자루스 그룹은 악성 소프트웨어를 퍼뜨리는 Windows 업데이트와 GitHub C&C 서버를 활용한 스피어 피싱 공격에서 발견되었습니다. 초기 공격 직후, 라자루스 해커들은 탐지를 피하고 악성 매크로를 무기로 사용하기 위해 Windows Update와 GitHub를 남용하려는 후속 시도를 한 것으로 보고되었습니다., Lazarus hackers were reported to make subsequent attempts to abuse Windows Update and GitHub to bypass detections weaponizing malicious macros.
Symantec 위협 헌터들은 한국의 화학 산업과 IT 부문을 목표로 하는 진행 중인 사이버 스파이 활동 캠페인을 최근 공개했으며, 이는 2020년에 시작된 악명 높은 악성 소프트웨어 캠페인의 연속인 것으로 보입니다. 두 캠페인에서 감지된 유사한 도구와 IoC는 서로 연결되는 명확한 증거로 사용됩니다. 라자루스 APT가 지적 재산을 도용하려는 포텐셜 사이버 공격에 주의를 기울일 것을 Symantec이 기관에 알린 2022년 1월에 최초의 새로운 사이버 공격 물결 징후가 이의 활동 추적에 대한 첫 번째 징후였습니다. 특히, 미국 정부가 북한 제재 회피 노력을 방해하는 데 기여할 수 있는 관련 데이터에 대해 5백만 달러의 보상을 보고한 당일에 Symantec의 라자루스 경고가 나왔습니다. 드림잡 작전 that started in 2020. Similar tools and IoCs detected in both campaigns serve as feasible evidence to link them. The first signs of a new wave of cyber-attacks linked to the 드림잡 작전 activity trace back to January 2022, when Symantec addressed organizations, mainly in the chemical sector, to remain vigilant for potential cyber-attacks by Lazarus APT aimed at stealing intellectual property. Notably, Symantec’s Lazarus warning came out on the very same day that the US government reported a $5 mln reward for relevant data that might contribute to disrupting North Korean sanctions-busting efforts.
첫 번째 킬 체인 요소는 피해자의 시스템에서 악성 HTM 파일을 수신 및 배포하고 이를 INISAFE Web EX 클라이언트 관리 소프트웨어에 포함시키는 것으로, 감염 체인에 사용된 DLL 파일은 일반적으로 C&C 서버에서 추가 페이로드를 다운로드하고 실행하는 트로이 목마 도구입니다. 특정 URL 매개변수를 가지고 있습니다. 키/값 ‘prd_fld=racket.
연구원들은 Windows Management Instrumentation (WMI)를 사용하여 대상 네트워크에서의 측면 이동을 드러내었으며, 자격 증명을 덤프하고 일정 작업을 특정 사용자로 설정하여 실행할 수 있도록 스케줄링을 설정했습니다. 또한, 라자루스 해커들은 IP 로깅 도구, 원격으로 컴퓨터를 켜거나 끄기 위한 WakeOnLAN 프로토콜, MagicLine 프로세스 하에서 실행되는 파일 전송 프로토콜(FTP) 및 기타 도구를 활용했습니다.
The 드림잡 작전 캠페인은 여러 산업에 심각한 위협을 가하며, 여전히 효과적인 적대 전술을 보유한 상태에서 몇 년간 진행되고 있습니다. 따라서 적극적인 사이버 보안 접근을 구현하고 사이버 보안 태세를 개선하면 조직이 이러한 규모의 고도로 정교한 APT 공격에 견딜 수 있습니다. SOC Prime의 코드로서의 탐지 플랫폼 에 참여하여 공격자를 한발 앞서가고 사이버 방어 능력을 다음 단계로 향상시키십시오.
