라자러스는 최소 2009년부터 활동을 시작해 현재까지 왕성하게 활동 중인 지능형 공격 조직으로 여러 분야에 걸친 다수의 공격에 연루돼 있다. 이들은 2020년 초부터 쓰레트니들(ThreatNeedle)이라는 백도어로 방위 산업을 노리고 있으며, 이후 다양한 툴과 명령을 통해 내부망으로 이동해 민감한 정보를 수집한다.
라자러스는 현재 가장 활동이 왕성한 공격 조직 가운데 하나로, 최소 2009년부터 활동을 시작한 이래로 대규모 사이버 스파이 공격, 랜섬웨어 공격은 물론 암호화폐 시장 공격에도 연루돼 있다. 지난 몇 년 동안은 금융 기관을 중점적으로 공격했으나 2020년이 시작되면서 방위 산업을 공격 ‘포트폴리오’에 추가한 것으로 보인다.
카스퍼스키 연구진은 침해 사고 조사에 투입되면서 이 공격을 처음 인지했고, 해당 조직이 맞춤 백도어(장치 전체의 완전한 원격 제어를 가능하게 해주는 악성 코드의 일종)의 피해를 입은 것을 발견했다. 쓰레트니들은 공격자에게 다양한 기능을 제공하며 추가적인 툴과 명령을 통해 내부망 이동 후 기밀 정보를 수집한다.
첫 감염은 스피어 피싱을 통해 발생한다. 공격 대상은 악성 워드 첨부파일, 또는 첨부파일 링크가 포함된 이메일을 받는다. 공격자는 공격 대상이 관심있을 만한 주제를 이용하며 실제로 유명한 의료기관을 가장해 코로나19 관련 긴급 업데이트라는 주제를 사용한 경우도 확인됐다.
악성 문서를 열면 악성코드가 생성되며 다음 감염 단계가 진행된다. 이 공격에 사용된 쓰레트니들 악성코드는 마누스크립트(Manuscrypt)로 알려진 악성코드군에 속한다. 이 악성코드군은 라자러스 조직의 소유이며 과거 암호화폐 기업을 공격한 전력이 있다. 쓰레트니들이 설치되면 공격 대상의 장치를 완전히 제어할 수 있다. 즉, 파일 조작은 물론 수신된 명령의 실행에 이르기까지, 모든 작업이 가능해지는 것이다.
이 공격의 흥미로운 기법 중 하나는 해당 기업은 사무실의 인터넷망과 공장의 인트라넷망 분리를 통해 중요한 정보를 지키고 있었으나, 공격자에게 의해 해당 보안시스템이 무너져 버렸다는 점이다. 기업 정책에 따르면 기본적으로 이 두 네트워크 간에는 정보가 전송되어서는 안 된다. 그러나 관리자는 시스템 유지를 위해 두 네트워크 모두에 연결할 수 있다. 라자러스는 이 부분을 노려 관리자 워크스테이션 제어권을 확보한 후 악성 게이트웨이를 설정해 접근이 제한된 네트워크를 공격하고 기밀 데이터를 수집 및 탈취했다.
카스퍼스키 글로벌 위협 정보 분석 팀(GReAT) 박성수 선임 보안 연구원은 “2020년 한 해 가장 활동적인 공격조직은 라자러스였을 것이며 이러한 추세가 앞으로도 유지될 것 같다”며, “카스퍼스키는 쓰레트니들 공격이 앞으로 더욱 증가할 것으로 예상해 계속 예의주시하고 있다”고 말했다. editor@itworld.co.kr