NukeSped 탐지: NukeSped 악성 소프트웨어가 대한민국을 강타하다

국가 지원 위협 행위자 라자루스 다시 등장했으며 이번에는 악명 높은 Log4Shell 취약점을 악용하여 VMware Horizons 서버를 공격하고 있습니다. 이 캠페인에서 적들은 Horizon을 활용하여 NukeSped 백도어로 대한민국을 표적으로 삼고 있습니다. 처음 문서화된 익스플로잇은 2022년 1월로 거슬러 올라가며, 라자루스 해커들은 2022년 봄 중반부터 VMware Horizons 제품에서 Log4Shell을 악용하는 것으로 관찰되었습니다. 거의 반년이 지난 지금도 이러한 익스플로잇은 여전히 심각한 문제로 남아 있습니다.

NukeSped 탐지

날카로운 Threat Bounty 개발자인 Sohan G가 SOC Prime의 플랫폼 Threat Detection Marketplace 리포지토리에 공개한 새로운 Sigma 규칙을 활용하세요. 이 규칙은 NukeSped 악성 코드와 관련된 잠재적인 악성 활동 탐지를 가능하게 합니다:

Lazarus 그룹의 Log4Shell 취약점 악용 가능성 탐지 (NukeSped) (file_event를 통해)

이 탐지는 최근 MITRE ATT&CK® 프레임워크 v.10에 맞춰 20개의 SIEM, EDR & XDR 플랫폼에서 사용할 수 있으며, 주요 기술로 Command and Scripting Interpreter (T1059)를 통한 실행 전술에 대응합니다.

세계 최고의 Detection as Code 플랫폼은 복수의 보안 플랫폼을 위한 185K+ 이상의 탐지 알고리즘과 위협 헌팅 쿼리를 통합했습니다. 다양한 탐지 콘텐츠 라이브러리를 탐색하려면 탐지 보기 버튼을 누르세요. 자신만의 Sigma 규칙을 개발하고, 위협 헌팅 속도를 높이고, 전 세계 위협 헌팅 이니셔티브에 기여하고 싶으신가요? Threat Bounty 프로그램에 참여하세요!

탐지 보기 Threat Bounty 참여

NukeSped 악성 코드 분석

북한 후원 위협 행위자는 라자루스 그룹 은 2022년에도 활동을 계속하며 주로 아시아 태평양(APAC) 지역 국가를 대상으로 공격 범위를 확장하고 있습니다. 이번에는 악명 높은 Log4Shell Apache Log4j 자바 로깅 라이브러리에 영향을 미치는 취약점을 악용하며, 이는 2021년 12월부터 여러 위협 행위자들에 의해 적극적으로 악용되었습니다.

의 분석 팀은 Ahnlab ASEC 은 라자루스 해커들이 VMware Horizon의 Apache Tomcat 서비스를 사용하여 Log4j를 악용하는 PowerShell 스크립트를 실행한다고 보고했습니다. PowerShell 명령은 백도어를 감염된 서버에 설치하며, 이를 통해 사이버 스파이 활동을 수행하는 데 사용됩니다. 예를 들어, 민감한 데이터 도용, 키보드 캡처, 스크린샷 촬영, 및 대상 시스템에 배포할 악성 페이로드 가져오기 등이 있습니다. 콘솔 기반 정보 탈취 악성 코드도 포함됩니다.

이 캠페인에서 사용된 악성 코드 변종은 C++로 작성되었으며, 라자루스는 최소한 2020년부터 이를 사용해 왔습니다. 연구원들에 따르면, 이 캠페인에서 적들은 가끔씩 진 마이너, 암호화폐 채굴 봇을 Horizon 호스트를 공격하는 데 사용하기로 선택했습니다.

준비가 되셨습니까? 탐색해보세요 SOC Prime의 플랫폼을그리고 Detection as Code의 작동을 확인하세요. 무료로 가입하세요. 또는 Threat Bounty 프로그램 에 가입하여 자신만의 콘텐츠를 제작하고 커뮤니티와 공유하세요.