Home헤드라인 뉴스북한의 라자루스 갱단, 작전 보안 실패에 자신을 드러내다

북한의 라자루스 갱단, 작전 보안 실패에 자신을 드러내다

2017년 WannaCry 사건의 배후에 있는 Lazarus로 알려진 북한의 악명 높은 APT(Advanced Persistent Threat) 그룹이 조직원의 작전 보안 오류로 인해 활동이 노출된 후 의학 연구 기관과 에너지 회사를 대상으로 한 사이버 공격 캠페인이 고정되었습니다. .

핀란드의 WithSecure 연구원은 Elements 클라우드 네이티브 보안 플랫폼을 사용하는 고객에 대한 평범한 랜섬웨어 공격으로 보이는 것을 감지한 후 이야기를 들었습니다. 그러나 곧 뭔가 다른 일이 일어나고 있음이 명백해졌습니다.

“처음에는 BianLian 랜섬웨어 공격 시도로 의심되었지만 우리가 수집한 증거는 빠르게 다른 방향을 가리켰습니다. 더 많은 증거를 수집하면서 공격이 북한 정부와 연결된 그룹에 의해 수행되었다는 확신이 생겼고 결국 라자루스 그룹이라고 자신 있게 결론을 내렸습니다.”라고 WithSecure 선임 위협 인텔리전스 연구원 Sami Ruohonen이 말했습니다.

조사된 사건에서 갱단은 2022년 8월 패치되지 않은 인터넷 연결 Zimbra 서버에서 CVE-2022-27295 및 CVE-2022-37042 취약점을 악용하여 초기 액세스 및 권한 상승을 얻었습니다. 적법한 Windows 및 Unix 도구를 남용하고 연결 프록시, 터널링 및 릴레이를 위해 설치된 도구를 사용했습니다.

관찰된 명령 및 제어(C2) 동작은 다수의 릴레이 및 엔드포인트를 통해 연결된 소수의 C2 서버를 암시하며 일부 서버는 분명히 다른 손상된 피해자에게 속해 있습니다. 마지막으로 2022년 11월 5일에서 11일 사이에 공격자는 약 100GB의 데이터를 훔쳤지만 어떠한 파괴적인 조치도 취하지 않았습니다.

공격자의 오류이자 WIthSecure 팀이 결론을 내린 핵심 요인은 북한에 속하는 것으로 알려진 1,000개 미만의 IP 주소 중 하나를 잠깐 사용한 것입니다.

피해자의 네트워크 로그를 살펴보는 동안 팀은 북한 IP 주소(174.45.176)에서 연결되는 단일 인스턴스를 발견했습니다.[.]27 – 하루가 시작될 때. 이 연결은 전날에 선행되었으며 잠시 후 프록시 주소(209.95.60)에서 연결되었습니다.[.]92.

“우리는 이 인스턴스가 업무 시작 시 위협 행위자의 운영 보안 실패였으며 약간의 지연 후 의도한 경로를 통해 돌아온 것으로 의심합니다.”라고 팀은 썼습니다.

“북한 IP 주소는 북한 정부가 직접 통제하고 사용하는 3개의 /24 네트워크뿐이므로 이 활동은 북한 국가 활동가에 의해 시작되었을 가능성이 매우 높습니다.”

팀은 다른 알려진 Lazarus 캠페인과 관찰된 도구 중복, 다른 캠페인과의 암호 사용 유사성, 피해자 프로파일링 및 시간대 분석으로 인해 속성을 확고히 할 수 있었습니다.

모든 증거를 바탕으로 문제의 공격이 에너지, 연구, 방위 및 의료 부문과 협력하는 의료 연구원, 화학 엔지니어 및 기술 제조업체를 대상으로 하는 광범위한 캠페인의 일부를 구성했다는 것이 이제 거의 확실합니다.

이에 대한 Lazarus의 궁극적인 목표는 북한 정부를 대신하여 정보를 수집하는 것이었고, 이는 자주 목격되는 암호화폐 강탈과 함께 북한 행위자들의 빈번한 목표였습니다.

그러나 BianLian 랜섬웨어에 대한 가능한 링크를 둘러싼 몇 가지 미스터리가 남아 있습니다. 처음에는 WithSecure가 탐지한 Cobalt Strike 활동이 금전적 동기가 있는 BianLian 그룹과 관련된 것으로 이전에 식별된 서버에 신호를 보냈기 때문에 의심되었습니다. 그러나 후속 연구에서는 BianLian과 북한의 공격적인 사이버 작전 사이에 명확한 연결 고리를 설정할 수 없었으며 연결이 존재하는지 여부를 말할 수 없습니다.

북한의 라자루스 갱단, 작전 보안 실패에 자신을 드러내다

경계를 늦추지 마세요

최신 기사

더 탐색

가장 많이 본

지금 유행하는