악명 높은 북한 해킹 그룹인 '라자루스'가 'Log4Shell'이라는 취약점을 계속해서 악용하고 있으며, 이번에는 DLang으로 작성된 세 가지 새로운 악성코드를 배포하였습니다. 이 새로운 악성코드는 NineRAT과 DLRAT라는 두 가지 원격 접속 트로이 목마(RATs)와 BottomLoader라는 악성코드 다운로더를 포함한다. 이들은 '블랙스미스 작전'이라는 이름으로 전 세계의 제조, 농업, 물리 보안 회사를 대상으로 2023년 3월부터 시작되었습니다.

NineRAT은 라자루스의 첫 번째 RAT로, 명령 및 제어(C2) 통신을 위해 텔레그램 API를 사용합니다. 또한, DLRAT은 라자루스가 감염된 시스템에 추가 페이로드를 도입하는 데 사용할 수 있는 트로이 목마 및 다운로더입니다. 마지막으로, BottomLoader는 PowerShell을 사용하여 하드코딩된 URL에서 페이로드를 가져오고 실행하는 악성코드 다운로더로 발견되었습니다.

라자루스는 공격의 두 번째 단계에서 시스템에 NineRAT를 배포하며, 이는 이전 섹션에서 강조된 것처럼 다양한 명령을 지원합니다. Cisco는 라자루스가 NineRAT에 의해 수집된 데이터를 그룹 또는 클러스터에 공급할 수 있다고 결론 내렸습니다.

요약

- 북한 해킹 그룹 '라자루스'가 'Log4Shell' 취약점을 이용해 세 가지 새로운 악성코드를 배포하였다.
- 이 새로운 악성코드는 NineRAT, DLRAT, BottomLoader를 포함하며, 전 세계의 제조, 농업, 물리 보안 회사를 대상으로 한다.
- 라자루스는 공격의 두 번째 단계에서 시스템에 NineRAT를 배포하며, 이는 다양한 명령을 지원한다.
- Cisco는 라자루스가 NineRAT에 의해 수집된 데이터를 그룹 또는 클러스터에 공급할 수 있다고 결론 내렸다.

Reference

https://www.bleepingcomputer.com/news/security/lazarus-hackers-drop-new-rat-malware-using-2-year-old-log4j-bug/

*※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.*