북한의 해킹 그룹 라자루스가 취약한 소프트웨어를 이용해 소프트웨어 공급업체를 여러 차례 공격했습니다. 개발자가 제공한 여러 패치와 경고에도 불구하고 라자루스는 동일한 피해자를 여러 번 침해했는데, 이는 해커들이 소스 코드를 훔치거나 공급망 공격을 시도하려는 의도를 보여줍니다. 카스퍼스키에 따르면, 이러한 반복적인 침해는 소프트웨어 공급망을 조작하거나 가치 있는 소스 코드를 훔치려는 지속적이고 결정적인 위협 요소를 시사합니다.

라자루스는 웹 통신의 암호화에 사용되는 합법적인 보안 소프트웨어를 대상으로 했으며, 이 공격은 SIGNBT 악성 코드와 쉘코드의 배포로 이어졌습니다. 이 악성 코드는 피해자 ID 검증 체크를 수행한 후 로컬 파일 시스템 경로에서 SIGNBT 페이로드를 복호화하고 로드하여 감염이 의도된 대상으로 진행되도록 합니다. 또한, SIGNBT는 C2와의 통신을 위해 독특한 문자열을 사용하며, 시스템 정보를 얻는 등의 기능을 처리합니다.

라자루스 그룹은 지역과 산업을 가리지 않고 광범위하게 공격하며, 가장 활발하고 위험한 위협 요소 중 하나로 남아있습니다. 그들의 최근 행동은 그들의 정교한 전략과 지속적인 목표를 강조하며, 조직들이 소프트웨어를 적극적으로 패치하고 초기 침투를 위한 취약점의 쉬운 악용을 방지할 필요성을 강조합니다.

요약

- 북한의 해킹 그룹 라자루스가 취약한 소프트웨어를 이용해 소프트웨어 공급업체를 여러 차례 공격했다.
- 라자루스는 웹 통신의 암호화에 사용되는 합법적인 보안 소프트웨어를 대상으로 했으며, 이 공격은 SIGNBT 악성 코드와 쉘코드의 배포로 이어졌다.
- SIGNBT는 C2와의 통신을 위해 독특한 문자열을 사용하며, 시스템 정보를 얻는 등의 기능을 처리한다.
- 라자루스 그룹은 지역과 산업을 가리지 않고 광범위하게 공격하며, 가장 활발하고 위험한 위협 요소 중 하나로 남아있다.
- 그들의 최근 행동은 그들의 정교한 전략과 지속적인 목표를 강조하며, 조직들이 소프트웨어를 적극적으로 패치하고 초기 침투를 위한 취약점의 쉬운 악용을 방지할 필요성을 강조한다.

Reference

https://www.bleepingcomputer.com/news/security/lazarus-hackers-breached-dev-repeatedly-to-deploy-signbt-malware/

*※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.*