국가사이버안전센터(NCSC)와 국가정보원(NIS)은 북한의 라자루스 해킹 그룹이 MagicLine4NX 소프트웨어의 제로데이 취약점을 이용해 기업을 공격하고 있다고 경고했습니다. MagicLine4NX는 남한의 드림시큐리티 회사가 개발한 보안 인증 소프트웨어로, 조직에서 안전한 로그인을 위해 사용됩니다. 이들은 이 제품의 제로데이 취약점을 이용해 주로 남한 기관을 대상으로 공격을 했습니다.

공격은 미디어 아웃렛의 웹사이트를 탈취하여 기사에 악성 스크립트를 삽입함으로써 시작되었습니다. 특정 IP 범위에서 특정 대상이 손상된 사이트의 기사를 방문하면, 스크립트는 MagicLine4NX 소프트웨어의 취약점을 트리거하는 악성 코드를 실행했습니다. 이로 인해 피해자의 컴퓨터는 공격자의 C2 (명령 및 제어) 서버에 연결되었고, 이를 통해 네트워크 연결 시스템의 취약점을 이용해 인터넷 측 서버에 접근할 수 있었습니다.

북한 해커들은 이 시스템의 데이터 동기화 기능을 이용해 정보를 훔치는 코드를 사업 측 서버에 퍼뜨렸습니다. 이 코드는 두 개의 C2 서버에 연결되었으며, 하나는 중간의 게이트웨이로 작동하고 다른 하나는 인터넷 외부에 위치했습니다. 악성 코드의 기능에는 정찰, 데이터 유출, C2에서 암호화된 페이로드 다운로드 및 실행, 그리고 네트워크 내에서의 수평 이동이 포함되어 있습니다.

요약

- 국가사이버안전센터(NCSC)와 국가정보원(NIS)은 북한의 라자루스 해킹 그룹이 MagicLine4NX 소프트웨어의 제로데이 취약점을 이용해 기업을 공격하고 있다고 경고했다.
- 공격은 미디어 아웃렛의 웹사이트를 탈취하여 기사에 악성 스크립트를 삽입함으로써 시작되었다.
- 북한 해커들은 이 시스템의 데이터 동기화 기능을 이용해 정보를 훔치는 코드를 사업 측 서버에 퍼뜨렸다.
- 이 코드는 두 개의 C2 서버에 연결되었으며, 하나는 중간의 게이트웨이로 작동하고 다른 하나는 인터넷 외부에 위치했다.
- 악성 코드의 기능에는 정찰, 데이터 유출, C2에서 암호화된 페이로드 다운로드 및 실행, 그리고 네트워크 내에서의 수평 이동이 포함되어 있다.

Reference

https://www.bleepingcomputer.com/news/security/uk-and-south-korea-hackers-use-zero-day-in-supply-chain-attack/

*※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.*