Lazarus

라자루스 그룹 DLL Side-Loading 기법 이용 (mi.dll)

ASEC 분석팀은 라자루스 공격 그룹을 추적하던 중 공격자가 초기 침투 단계에서 다음 공격 단계 달성을 위해 정상 응용 프로그램을 이용한 DLL Side-Loading 공격 기법(T1574.002)을 사용하는 정황을 포착했다. DLL Side-Loading 공격 기법은 정상적인 응용 프로그램과 악성 DLL을 같은 폴더 경로에 저장하여 응용 프로그램이 실행 될 때 악성 DLL이 함께 동작하도록 하는 기법이다. 즉, 악성 DLL의 이름을 정상 프로그램이 참조하는 다른 경로에 위치한 정상 DLL 파일명과 동일하게 변경하여 악성 DLL이 먼저 실행 되도록 하는 악성코드 실행 기법이다. 라자루스 그룹이 악용한 정상 프로세스…

라자루스 그룹의 BYOVD를 활용한 루트킷 악성코드 분석 보고서

북한의 해킹 그룹으로 알려진 라자루스 그룹은 지난 2009년부터 국내를 비롯하여 미국, 아시아, 유럽 등의 다양한 국가를 대상으로 공격을 수행하고 있다. 자사 ASD(AhnLab Smart Defense) 인프라에 따르면 2022년 상반기에 라자루스 그룹은 국내의 방산, 금융, 언론, 제약 산업군에 대해 APT(Advanced Persistent Threat) 공격 활동을 전개하였다. 안랩에서는 이러한 APT 공격을 면밀히 추적하였으며 공격 과정에서 보안 제품을 무력화하는 정황을 확인하였다. 공격 과정을 분석한 결과, 라자루스 그룹은 오래된 버전의 이니텍(INITECH) 프로세스를 악용하여 기업에 초기 침투를 수행한 뒤 공격자 서버로부터 루트킷 악성코드를 다운로드 받아 실행하였다. 이번…

Log4Shell 취약점을 악용하는 Lazarus 그룹 (NukeSped)

작년 12월 자바 기반의 로깅 유틸리티인 Log4j의 취약점(CVE-2021-44228)이 전 세계적으로 이슈가 되었다. 해당 취약점은 원격지의 자바 객체 주소를 로그 메시지에 포함시켜 Log4j를 사용하는 서버에 전송할 경우 서버에서 자바 객체를 실행할 수 있는 원격 코드 실행 취약점이다. ASEC 분석팀은 Lazarus 그룹의 국내 타겟 공격을 모니터링하고 있으며, 지난 4월 Lazarus 그룹으로 추정되는 공격 그룹이 해당 취약점을 악용하여 NukeSped 악성코드를 유포한 정황을 포착하였다. 공격자는 보안 패치가 되지 않은 VMware Horizon 제품에 log4j 취약점을 사용하였다. VMware Horizon 제품은 가상화 데스크톱 솔루션으로써 기업에서 원격 근무…

INITECH 프로세스를 악용하는 라자루스 공격 그룹의 신종 악성코드

안랩 ASEC 분석팀은 2022년 1분기에 방산 업체를 포함한 약 47개의 기업 및 기관이 라자루스 그룹에서 유포 중인 악성코드에 감염되고 있는 정황을 파악하고, 이를 심각하게 판단해 모니터링 하고 있다. 피해 업체들에서는 INITECH사 프로세스(inisafecrosswebexsvc.exe)에 의해 악성 행위가 발생되는 것이 확인됐다. 피해 시스템에서 inisafecrosswebexsvc.exe에 대해 다음과 같은 내용을 우선 확인했다.   inisafecrosswebexsvc.exe 파일은  INITECH사의 보안 프로그램인 INISAFE CrossWeb EX V3의 실행 파일이다. 정상 파일과 같은 해시값을 가진다. (MD5:4541efd1c54b53a3d11532cb885b2202) INITECH사에 의해 정상 서명된 파일이다. INISAFE Web EX Client로 침해 시점 이전부터 시스템에 설치되어 있었으며, 변조의…

Kimsuky 그룹의 APT 공격 분석 보고서 (AppleSeed, PebbleDash)

본 문서는 최근 Kimsuky 그룹에서 사용하는 악성코드들에 대한 분석 보고서이다. Kimsuky 그룹은 주로 스피어피싱과 같은 사회공학적 공격 방식을 이용하는데, 첨부 파일들의 이름으로 추정했을 때 공격 대상들은 주로 북한 및 외교 관련 업무를 수행하는 사용자들로 보인다. 자사 ASD 인프라의 감염 로그를 보면 공격 대상은 일반적인 기업들보다는 개인 사용자들이 다수인 것으로 확인되지만, 공공기관이나 기업들 또한 지속적으로 공격 대상이 되고 있다. 대표적으로 국내 대학교들이 주요 공격 대상이며 이외에도 IT 및 정보 통신 업체, 건설 업체에서도 공격 이력을 확인할 수 있었다. 일반적으로 스피어피싱 공격…