Lazarus 조직은 국가가 배후인 것으로 알려진 해킹 조직으로 금전적인 이득, 자료 탈취 등의 목적으로 전세계를 대상으로 꾸준히 해킹하고 있습니다.
Lazarus 조직의 이니세이프 취약점을 악용한 워터링 홀을 간단하게 정리하면 언론사의 특정 기사에 악성 링크 삽입, 해당 기사를 클릭하는 기업, 기관이 해킹 대상, 국내 취약한 홈페이지를 C2 로 악용 그리고 제한된 범위의 해킹을 위해서 IP 필터링 등을 사용했습니다. 이번 워터링 홀에서 악용하는 프로그램의 취약점이 매직라인으로 변경됐을 뿐 워터링 홀 과정은 과거 이니세이프 사례와 동일합니다.
안랩은 Lazarus 조직의 매직라인 취약점을 악용한 워터링 홀을 대응하기 위해서 여러 팀의 협업이 있었습니다. 매직라인 취약점을 탐지하기 위한 조건을 연구하고 백신에 업데이트해준 분석팀, 탐지된 PC 가 고객일 경우 로그 및 샘플 수집 등 고객 대응을 해준 기술지원팀, 수집한 로그 분석 및 국가기관과의 소통을 담당한 대응팀 등 여러 팀의 협업이 있었습니다. 또한 안랩은 국가기관과도 정보 공유 및 협업을 통해서 Lazarus 조직의 매직라인 취약점을 악용한 워터링 홀을 추적하고 분석을 진행했으며, 매직라인 제조 기업의 이름 일부와 매직라인의 이름 일부를 조합하여 이번 작전을 “Operation Dream Magic”으로 명명했습니다.
본 보고서에서는 악성코드 분석 내용, 탐지 현황, 일부 기업의 협조로 수집한 로그 분석, 국가 기관과의 정보 공유 및 협업 등을 바탕으로 해석한 내용을 포함했으며, 이번 작전을 Lazarus 조직의 소행으로 판단한 근거에 대해서도 설명했습니다.
[+] 보고서 다운로드: 20231013_Lazarus_OP.Dream_Magic
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능합니다.
Categories:악성코드 정보