올해 초부터 북한 해커 그룹인 '라자루스'가 Zoho의 ManageEngine ServiceDesk의 중요한 취약점인 CVE-2022-47966을 이용해 인터넷 인프라 제공자와 의료 기관을 공격했습니다. 라자루스는 이 취약점을 통해 미국과 영국의 주요 기관을 타겟으로 QuiteRAT 멀웨어와 새롭게 발견된 원격 접근 트로이(RAT)인 CollectionRAT를 배포했습니다.
라자루스가 사용하는 새로운 멀웨어 CollectionRAT는 '라자루스'가 새롭게 연구한 멀웨로 발견되었습니다. 악성코드의 구성요소는 임의의 명령 실행, 파일 관리, 시스템 정보 수집, 역쉘 생성, 새 프로세스 생성, 새 페이로드 가져오고 실행, 그리고 자체 삭제 등이 있습니다. CollectionRAT는 또한 Microsoft Foundation Class(MFC) 프레임워크를 통해 코드를 실시간으로 암호화하고 실행하여 검출을 회피하고 분석을 방해하는 기능도 있습니다.
라자루스는 정보를 도용하고 원격 터널링, 명령 및 제어 통신을 위해 Mimikatz, PuTTY Link (Plink) 및 DeimosC2와 같은 오픈 소스 도구와 프레임워크를 널리 사용하는 등 전략, 기술, 절차에서의 발전을 보여주었습니다. 이러한 접근 방식은 라자루스가 더 적은 특정 흔적을 남기게 하여 추적, 추적 및 효율적인 보호 조치 개발을 어렵게 만듭니다.
요약
- 북한 해커 그룹 '라자루스'는 Zoho의 ManageEngine ServiceDesk의 취약점을 이용해 미국과 영국의 주요 기관을 공격하였다.
- '라자루스'는 QuiteRAT 멀웨어와 새롭게 발견된 CollectionRAT라는 멀웨어를 배포하여 공격하였다.
- '라자루스'는 오픈소스 도구와 프레임워크를 이용하여 감지를 피하고 분석을 방해하는 고도화된 공격을 수행하는 것으로 파악되었다.
Reference
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.