북한과 연계된 해킹 그룹인 라자루스 그룹이 최근 소프트웨어 공급업체의 보안 결함을 악용해 고도의 표적 공격을 수행한 사실이 밝혀졌다.

카스퍼스키 보안 연구에 따르면, 라자루스 그룹은 익명의 소프트웨어 공급업체의 알려진 보안 결함을 이용하여 새로운 캠페인을 전개하고 있으며, 이로써 다수의 피해자가 확인되었다고 전했다.

라자루스 그룹은 이번 공격에서 고도의 해킹기술로, 피해자 프로파일링 및 페이로드 전달에 사용되는 해킹 도구인 SIGNBT 및 LPEClient와 같은 멀웨어 제품군을 배포했다. 이 공격에서 사용된 SIGNBT 멀웨어는 다양한 감염 체인과 정교한 기술을 사용하여, 손상된 시스템에서 지속성을 확립하고 유지하기 위해 다양한 전술을 활용하는 것으로 조사됐다.

카스퍼스키는 라자루스 그룹이 소프트웨어 공급업체의 결함을 지속적으로 악용하고, 소프트웨어 공급망을 오염시키려는 시도를 하고 있다고 밝혔다.

또 이들은 여러 소프트웨어 제조업체를 표적으로 삼고 있으며, 이로써 다양한 침입 경로와 감염 절차를 사용해 최소 3개의 서로 다른 캠페인을 진행하고 있다고 전했다.

이번 공격은 합법적인 보안 소프트웨어를 통해 표적이 되었으며, 디지털 인증서를 사용하여 웹 통신을 암호화하도록 설계된 소프트웨어를 통해 피해자들을 공격 대상으로 삼았다. 그러나 공격에 사용된 소프트웨어의 이름은 공개되지 않았으며, SIGNBT를 유포하는 메커니즘은 아직 알려지지 않았다.

라자루스 그룹은 이번 공격에서 SIGNBT 멀웨어를 사용해 피해자의 시스템을 제어하고, 프로세스 열거, 파일 및 디렉터리 작업, LPEClient 및 기타 자격 증명 덤핑 유틸리티와 같은 다양한 기능을 활용하고 있다.

이번 공격은 북한과 연계된 사이버 작전의 최신 사례로, 라자루스 그룹이 지속적으로 고도의 사이버 공격 능력을 진화시키고 확장하고 있다는 증거라고 할 수 있다. 라자루스 그룹은 유명 소프트웨어의 취약점을 악용하며 초기 감염이 이루어지면 멀웨어를 효율적으로 확산시키는 전술을 사용하고 있어 각별히 주의해야 한다.

---

◆국내 최대 인공지능 보안 컨퍼런스 AIS 2023 개최(11월2일/7시간 보안교육 이수)

-주최: 데일리시큐

-일시: 2023년 11월 2일 오전9시~오후5시

-장소: 한국과학기술회관 지하1층 국제회의실

-참석대상: 공공, 금융, 기업 개인정보보호 및 정보보안 책임자·실무자만 가능

(현업 정보보안 실무 종사자가 아니면 참석 불가)

-강연내용: 인공지능(AI) 활용 사이버위협과 대응기술 공유

-참가비: 무료 (점심식사와 주차권은 제공하지 않습니다.)

-보안교육이수: 참관객에 7시간 보안교육 이수증 발급

-등록절차: 사전등록 후 참석승인문자 및 메일 수령자만 참석 가능

-사전등록: 클릭

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★