기사요약 :
재작년(2021년 3월)부터 라자루스(Lazarus) 해킹 그룹의 악성코드가 방산, 인공위성, 소프트웨어, 언론사 등 다수 업체에서 발견되었으며, 최근 피해를 입은 업체도 이미 2022년 5월에 침해당했으며 저번 공격과 동일한 공인인증서 관련 소프트웨어의 제로데이(0-day) 취약점이 이용된 것으로 밝혀졌다.
1) 소프트웨어가 자동 업데이트 되지 않기 때문에 사용하지 않을 때 삭제하고 사용할 때는 최신버전 사용이 필요
2) 취약한 드라이버 커널 모듈을 악용하는 BYOVD라는 기법으로 보안제품을 무력화
3) 은닉하기 위해 파일명을 변경해 삭제하거나 시간 정보 조작 > 안티포렌식
4) 동일한 공격자로 유사한 공격받음
5) 인증서 취약점을 이용한 래터럴 무브먼트(Lateral Movement) 이용
- pc02: 10.21. 인증서 취약점으로 래터럴 무브먼트 공격
- pc02: 11.18. 래터럴 무브먼트(pc02->pc021)
- pc01, pc02: 11.18. V3 무력화 발생
* svchost.exe으로 접속시도 했으나 실패에 따라 skypeserver.exe를 생성해서 pc01접속 및 인증서 오류발생 시킴. > 메모리 덤프 모두 삭제 됨> 정상 프로세(svchost.exe)에 악성 스레드 인젝션 시켜 C2서버 통신 및 백도어 용도로 사용. > 타임스탬프 조작, 파일명 랜덤하게 변경 후 삭제
* 지난해 공격에서는 ftp.exe 사용됨
6) 아직 취약점이 명확히 확인되지 않았으며 패치 또한 나오지 않음.
김영명 기자, 북한 라자루스 해커조직, 공인인증서 SW 취약점 공격 연이어 악용, 보안뉴스, https://m.boannews.com/html/detail.html?mtype=1&idx=114653
북한 라자루스 해커조직, 공인인증서 SW 취약점 공격 연이어 악용
2022년 3월부터 최근까지 북한 해커조직인 라자루스(Lazarus) 그룹의 악성코드가 국내의 방산, 인공위성, 소프트웨어, 언론사 등 다수의 업체들에서 발견되고 있다.
m.boannews.com
안랩 ASEC 블로그, 공공 기관 및 대학 등에 널리 사용하는 공인인증서 소프트웨어 취약점을 이용한 Lazarus 공격 그룹 공격 사례, https://asec.ahnlab.com/ko/48416/
공공 기관 및 대학 등에 널리 사용하는 공인인증서 소프트웨어 취약점을 이용한 Lazarus 공격 그룹
재작년(2021년 3월)부터 Lazarus 공격 그룹의 악성코드가 국내의 방산, 인공위성, 소프트웨어, 언론사 등 다수의 업체들에서 발견되고 있어, ASEC(AhnLab Security Emergency Response Center)은 Lazarus 공격 그룹의
asec.ahnlab.com
