북한 해커, 2개월간 유출로 연구 데이터 훔쳐

‘No Pineapple!’이라는 이름의 새로운 사이버 스파이 캠페인 북한의 라자루스(Lazarus) 해킹 그룹이 공격자들이 피해를 입히지 않고 피해자로부터 100GB의 데이터를 은밀하게 훔칠 수 있도록 허용했습니다.

이 캠페인은 2022년 8월부터 11월까지 지속되었으며 의학 연구, 의료, 화학 공학, 에너지, 방위 및 주요 연구 대학의 조직을 대상으로 했습니다.

이 작업은 핀란드 사이버 보안 회사인 WithSecure에 의해 발견되었으며, 고객 중 한 명에 대한 잠재적인 랜섬웨어 사고를 조사하기 위해 분석가가 호출되었습니다. 그러나 Lazarus의 작전 실수 덕분에 캠페인을 북한 APT와 연결할 수 있었습니다.

WithSecure는 여러 증거를 기반으로 활동을 돌릴 수 있었지만 다음과 같은 Lazarus의 새로운 발전도 발견했습니다.

캠페인 이름은 ‘<노 파인애플! >‘ 공격자의 서버에 훔친 데이터를 업로드할 때 원격 액세스 멀웨어가 전송하는 것으로 보이는 오류.

조용히 데이터를 훔치는

Lazarus 해커는 2022년 8월 22일 CVE-2022-27925(원격 코드 실행) 및 CVE-2022-37042(인증 우회) Zimbra 취약점을 활용하여 대상의 메일 서버에 웹쉘을 드롭하여 피해자의 네트워크를 손상시켰습니다.

이 RCE 결함은 2022년 5월에 패치되었지만 인증 우회로 인해 Zimbra는 8월 12일까지 보안 업데이트를 릴리스했습니다. 그 당시에는 이미 위협 행위자들이 적극적으로 악용하고 있었습니다.

네트워크에 성공적으로 침입한 후 해커는 터널링 도구 ‘Plink 및 ‘3Proxy’를 배포하여 위협 행위자의 인프라로 역방향 터널을 만들어 위협 행위자가 방화벽을 우회할 수 있도록 했습니다.

WithSecure에 따르면 침입자는 수정된 스크립트를 사용하여 서버에서 약 5GB의 이메일 메시지를 추출하여 로컬에 저장된 CSV 파일에 저장하고 나중에 공격자의 서버에 업로드했습니다.

다음 두 달 동안 공격자는 네트워크를 통해 측면으로 확산되어 관리자 자격 증명을 획득하고 장치에서 데이터를 훔쳤습니다.

네트워크를 통해 확산되는 동안 Lazarus는 Windows 관리자 계정을 찾는 데 사용되는 Dtrack 및 새로운 버전의 GREASE 맬웨어로 추정되는 것과 같은 여러 사용자 지정 도구를 배포했습니다.

Dtrack은 Lazarus가 사용하는 것으로 알려진 정보 탈취 백도어이며, GREASE 악성코드는 북한의 또 다른 국가 지원 해킹 그룹인 Kimusky와 관련이 있습니다.

이 공격은 2022년 11월 5일에 절정에 이르렀고 공격자는 2개월 이상 네트워크에 잠복해 결국 손상된 조직에서 100GB의 데이터를 훔쳤습니다.

WithSecure는 위협 행위자의 작업 패턴을 분석할 수 있었으며, 이들은 월요일부터 토요일까지 오전 9시부터 오후 10시까지 작업했다고 밝혔습니다.

“시간대 속성 분석 결과 시간대는 UTC +9와 일치하는 것으로 나타났습니다. 시간별 활동을 검토한 결과 대부분의 위협 행위자 활동은 UTC 00:00~15:00(UTC +9 09:00~21:00) 사이에 발생한 것으로 나타났습니다. ,” 공유 WithSecure.

“요일별 활동을 분석한 결과 위협 행위자는 북한의 일반적인 작업 패턴인 월요일부터 토요일까지 활동한 것으로 나타났습니다.”

이 Lazarus 캠페인에서 발견된 첫 번째 주목할만한 변화는 이제 인프라에 대한 도메인 이름 없이 IP 주소에만 의존한다는 것입니다.

이러한 변화는 갱신 유지 관리의 필요성 감소 및 IP 유연성 향상을 포함하여 위협 행위자에게 이점이 있습니다.

최근 Lazarus 공격에서 발견된 새로운 Dtrack 변종은 ‘onedriver.exe’라는 이름의 실행 파일에 의해 드롭되며 더 이상 데이터 유출을 위해 자체 C2 서버를 사용하지 않습니다.

대신 별도의 백도어를 사용하여 수집한 데이터를 손상된 시스템에서 로컬로 전송하고 암호로 보호된 아카이브에 저장합니다.

보고서에서 WithSecure는 “스테이징 및 유출 호스트는 위협 행위자가 엔드포인트 보안 모니터링 도구가 배포되지 않은 호스트로 신중하게 선택했을 가능성이 높습니다.”라고 설명합니다.

Lazarus가 사용하는 새로운 GREASE 악성코드는 호스트에서 ‘PrintNightmare’ 결함을 악용하여 더 높은 권한을 가진 DLL(“Ord.dll”)로 실행됩니다.

이전 버전과의 주요 차이점은 이제 RDPWrap을 사용하여 호스트에 RDP 서비스를 설치하고 net 사용자 명령의 도움으로 권한 있는 사용자 계정을 생성한다는 것입니다.

Lazarus와 같은 고도로 정교한 위협 활동가의 경우에도 실수를 저지르는 것은 전례가 없으며 이 경우 캠페인을 해킹 그룹의 소행으로 간주할 수 있습니다.

WithSecure는 피해자로부터 검색된 네트워크 로그를 조사한 결과 침입자가 심은 웹 셸 중 하나가 북한 IP 주소(“175.45.176[.]27”).

이 고립된 사건은 그날 초에 프록시 주소에서 연결되기 전에 발생했으며, 이는 위협 행위자가 업무 시작 시 오류로 인해 자신을 노출했을 가능성이 있음을 나타냅니다.

또한 WithSecure는 침해된 네트워크 장치에서 실행되는 다양한 명령이 Lazarus 맬웨어 내부에 하드코딩된 명령과 매우 유사하지만 종종 실수를 포함하고 실행되지 않는 것을 관찰했습니다.

실수 외에도 WithSecure는 Symantec 및 Cisco Talos의 이전 보고서에 자세히 설명된 TTP 중복, 사용된 악성 코드 변종, 대상 프로필, 인프라 중복 및 시간대 분석을 기반으로 이러한 작업을 Lazarus에 연결할 수 있었습니다.

WithSecure의 보고서는 Lazarus의 활동을 보여주는 또 다른 징후입니다. 이 위협 그룹은 계속해서 정보를 수집하고 세간의 이목을 끄는 피해자로부터 대량의 데이터를 빼내려는 노력을 하고 있습니다.