블랙스미스 작전 탐지: 라자루스 APT, CVE-2021-44228 취약점을 이용해 새로운 DLang 기반 악성코드 배포

공격자들이 Log4j Java 라이브러리의 잘 알려진 보안 결함을 주목하고 있으며, 이는 CVE-2021-44228으로 추적되며, Log4Shell로도 알려져 있습니다. 공개된 지 몇 년이 지난 후에도, ‘Operation Blacksmith’라는 새로운 캠페인은 DLang으로 작성된 새로운 악성 코드 스트레인을 배포하기 위해 Log4Shell 취약점을 악용하는 것을 포함하고 있습니다. 북한 APT 라자루스 그룹 이 새롭게 발견된 Operation Blacksmith의 배후에 있는 것으로 믿어집니다. 

라자루스 APT와 관련된 Operation Blacksmith 활동 감지 

북한의 국가 지원 APT 그룹들은 여러 산업 부문에서 글로벌 조직에 위협을 계속 가하고 있습니다. 2009년부터 혼란을 일으키고 있는 숙련되고 자금이 풍부한 해킹 집단으로서 인정받고 있는 악명 높은 라자루스 그룹은 최신 Operation Blacksmith 캠페인에서 다시 등장합니다. SOC Prime Platform은 최신 캠페인에서 라자루스 침입을 시기적절하게 식별할 수 있는 선별된 탐지 알고리즘을 수비수들에게 제공합니다. 아래 링크를 따라가면, 맞춤형 정보로 풍부해진, 수십 개의 보안 분석 플랫폼에 맞춤화된 MITRE ATT&CK®에 맵핑된 Sigma 규칙을 얻을 수 있습니다.

라자루스 APT와 관련된 Operation Blacksmith 캠페인을 탐지하기 위한 Sigma 규칙

또한, 보안 엔지니어들은 Onyx Sleet 또는 Andariel APT로 알려진 북한 정부 지원 하에 라자루스 산하에 운영되는 하위 그룹의 공격을 방어하기 위해 탐지에 의존할 수 있습니다:

Andariel APT와 관련된 공격을 탐지하기 위한 Sigma 규칙

Onyx Sleet과 관련된 공격을 탐지하기 위한 Sigma 규칙 

클릭 탐지 탐색 라자루스와 연관된 공격을 위한 전체 탐지 스택에 도달합니다. 위협 연구의 간소화를 위한 ATT&CK 및 CTI 링크를 포함한 방대한 메타데이터를 탐구하세요. 대안으로, 맞춤형 탐지를 드릴 다운하여 Hidden Cobra or APT38 공격에 사전 대비할 수 있습니다. 관련 행위자 속성에 기반한 맞춤형 태그별로 필터링합니다. 

탐지 탐색

Operation Blacksmith 분석: 새로운 텔레그램 기반의 악성 코드를 배포하기 위한 CVE-2021-44228의 악용에 대한 인사이트

국가 지원 해킹 집단 라자루스 (aka APT38, Dark Seoul, 또는 Hidden Cobra) 는 2년 된 CVE-2021-44228 aka Log4Shell 취약점을 무기로 활용하여 DLang 프로그래밍 언어로 개발된 세 가지 새로운 악성코드 스트레인을 확산하고 있습니다. 이 새로 확인된 악성코드 패밀리에는 NineRAT 및 DLRAT이라는 두 개의 이전에 알려지지 않은 RAT와 BottomLoader라는 악성 다운로드 도구가 포함되며, 새로운 캠페인이 Cisco Talos에 의해 발견되어 이름 ‘Operation Blacksmith’ 아래 주목을 받고 있으며, 제조, 농업, 물리적 보안 부문이 공격자의 주요 대상이 되고 있습니다.

공격 체인은 취약점 CVE-2021-44228의 성공적인 악용을 통해 타겟 서버에 진입점으로 시작됩니다. 초기 접근을 얻은 후, 라자루스는 초기 정찰을 수행하며, 이후 맞춤화된 설치기를 타겟 시스템에 배포합니다. 이후 라자루스는 HazyLoad라는 프록시 도구를 배포하여 타겟 시스템에 직접 접근을 생성, CVE-2021-44228의 반복적인 악용을 없앱니다. 해커들은 시스템에 추가 사용자 계정을 만들고 관리자 권한을 부여합니다. 성공적인 자격 증명 덤프 후, 라자루스는 영향을 받은 시스템에 NineRAT을 설치합니다. NineRAT은 C2 통신을 위해 텔레그램 API를 활용합니다. 이 악성코드에는 지속성을 생성하고 주요 바이너리를 시작하기 위한 드로퍼가 포함됩니다. 텔레그램의 사용은 C2 통신에 합법적인 서비스를 활용하여 탐지를 회피하려는 가능성이 높습니다.

텔레그램 기반이 아닌 DLRAT이라는 악성코드는 라자루스 해커가 추가 페이로드를 타겟 시스템에 배포할 수 있게 해줍니다. 디바이스에서의 초기 활성화 시, DLRAT는 사전 정의된 명령을 수행하여 기본 시스템 데이터를 수집하고 이를 C2 서버로 전송합니다.

Blacksmith 작전에 사용된 세 번째 악성코드는 BottomLoader로 알려져 있으며, 이는 DLang 기반 다운로드 도구로, 시스템 정찰을 위해 파워셸을 통해 미리 정의된 URL에서 페이로드를 가져오고 실행하는 데 사용됩니다. BottomLoader는 라자루스 APT가 영향을 받은 시스템에서 파일을 C2 서버로 전송할 수 있게 하여 운영의 유연성을 높입니다.

Talos 연구원들은 지난 18개월 동안 라자루스가 QtFramework, PowerBasic, 그리고 가장 최근에는 DLang으로 작성된 비전통적 기술을 통해 개발된 RAT를 활용했다는 것을 관찰했습니다.

주목할 점은, Talos는 최근 라자루스 캠페인과 North Korean 국가 지원 그룹 Onyx Sleet (aka PLUTIONIUM)으로도 알려진 Andariel APT 그룹이 일치하는 관찰된 적대적 TTP 간의 유사성을 추적합니다. 후자는 일반적으로 라자루스 우산 하에 운영되는 APT 하위 단위로 인정됩니다.

Operation Blacksmith는 라자루스 그룹의 TTP에 중요한 변화를 나타내며, 악성 행위자들이 사용하는 적대적 도구의 지속적인 진화를 보여줍니다. SOC Prime 플랫폼에 로그인을 통해 6,000개 이상의 콘텐츠 를 위협 탐지 시장 리포지토리에서 접근하여 모든 규모의 기존 및 신흥 APT 공격을 사전적으로 탐지할 수 있습니다.