보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

[알아보잡 Series] 국내 타깃형 APT공격그룹 – 라자루스(LAZARUS)

2020.03.04

21,906


 

 

 

 

1. 개요

 

디아블로라는 게임에는 라자루스(LAZARUS)라는 타락한 대주교가 등장한다. 한때 마을 사람과 왕에게 신임을 받는 성실한 대주교였으나 봉인된 디아블로의 영혼석을 보고 힘에 매료되어 악마 디아블로의 봉인을 풀고 그의 수하가 된다. 라자루스가 디아블로의 봉인을 풀지 않았다면 누군가의 희생도 몰락도 없었을 테지만 라자루스에 의해 디아블로가 부활하고 그렇게 게임 속 세계관은 멸망을 향해 달려간다. 


멸망의 아이콘 라자루스는 게임 속 캐릭터가 아닌 해킹 그룹으로도 존재한다. ‘라자루스’는 2016년 카스퍼스키랩(Kaspersky) 및 노베타(Novetta)등 보안업체가 함께 발간한 ‘Operation Blockbuster’ 분석보고서를 통해 등장하게 된다. 2014년 소니 픽쳐스(Sony Pictures) 해킹 사건과 2009년 7.7 DDoS 사건의 배후로도 알려져 있으며 북한 정부의 지원을 받는 공격 그룹으로 추정되고 있다.


라자루스 그룹은 공격대상은 특정 국가에 한정되지 않으며 국내에서는 ‘히든 코브라(Hidden Cobra)’는 이름으로 널리 알려져 있다. 소니픽쳐스 사건 당시 공격자들은 스스로를 ‘평화의 수호자(Guardians of Peace)’라고 지칭하였으나 이들의 행위는 전혀 평화롭지 못했다.


알아보잡 두 번째 주자는 공격타깃을 국내로 잡고 있는 ‘라자루스(LAZARUS)’에 대해서 살펴보고자 한다. 특히 국내에서는 한글문서를 사칭한 공격방식으로 가상화폐탈취를 주로 수행하고 있기도 하다. 본 보고서에서는 라자루스에서 국내 대상으로 수행한 공격에 한해서만 살펴보고자 한다.


그럼 본격적으로 LAZARUS에 대해 알아보잡!



 

[표 3-1] 2020년 상반기 Analysis Report에서 다룰 공격그룹의 목록

 

02. LAZARUS

 

 

 



 

라자루스는 북한 정부의 지원을 받고 있는 것으로 추정되는 공격 그룹으로 Operation Troy(2009년 7.7DDos)를 시작으로 현재까지도 다양한 공격을 활발하게 진행 중이다. 타 북한 추정 해킹그룹들과 TTP(Techniques Tactics Procedures)를 공유한다. 라자루스 산하에는 해킹 그룹인 안다리엘(Andariel), 블루노로프(BlueNoroff)등이 있는 것으로 추정되고 있다.

 

본 보고서에서는 그 동안 국내 대상으로 진행된 공격의 악성코드(7종)에서 사용된 공격벡터에 대해서 분석해보고자 한다.

 

1) 2018.09  일일동향보고 사칭 악성코드 유포 

 

먼저 살펴볼 악성코드는 한국부동산협회에서 발행하는 일일 동향 보고 문서를 사칭한 한글 문서형 악성코드다. EPS 영역에 악성 행위를 하는 스크립트가 들어있으며 XOR 인코딩 되어있다. 디코딩 후에 악성 쉘코드가 나오며 해당 쉘코드에서 C2 #1에 접속하여 추가 악성파일을 다운로드 받아온다. 

 

다운로드 된 악성파일 #1는 한글파일과 마찬가지로 0xAA를 XOR 인코딩하며, 디코딩 후에 Manuscrypt(Bankshot) 악성코드가 최종 다운로드 및 실행되게 된다.

 

 


 

[표 3-2] 파일 정보

 

 


 

2) 2018.10  변호사 사칭 한글 악성코드 유포

 

특정 인물에 대한 문서를 위장한 한글 문서형 악성코드이다. PS영역에 악성 행위를 하는 스크립트가 들어있으며 XOR 인코딩 되어있다. 디코딩 하면 악성 쉘코드가 나오며 해당 쉘코드에서 C2 #1에 접속하여 추가 악성파일을 다운로드 받아온다.

 

다운로드 된 악성파일 #1은 0xAA로 XOR 인코딩 되어있으며 디코딩 하게 되면 Manuscrypt(Bankshot) 악성코드가 최종 다운로드 및 실행되게 된다. 

 

 


 

[표 3-3] 파일 정보

 

 


 

3) 2019.01  DOC 문서형 악성코드 유포

 

특정 회사의 문서를 사칭한 doc 매크로 악성코드이다. 매크로 영역에 XOR로 인코딩 된 데이터가 들어있으며 매크로를 실행 시 Visual Basic 코드가 실행되면서 %APPDATA% 영역에 UPX로 패킹된 jusched.exe 파일이 생성된다. 이는 매크로 영역에 들어있는 데이터가 0x7E로 디코딩 된 값이다. jusched.exe라는 이름의 파일은 과거에 국내를 대상으로 한 공격에서 사용된 적이 있는 악성코드와 동일한 이름이다.

 

 


 

[표 3-4] 파일 정보

 

 


 

4) 2019.06  투자계약서 사칭 한글 악성코드 유포

 

투자 계약서를 사칭한 한글 문서형 악성코드이다. PS 영역에 악성 행위를 하는 스크립트가 들어있으며 XOR 인코딩 되어있다. 디코딩을 하게 되면 악성 쉘코드가 나오며 explorer.exe(정상 프로세스)에 인젝션 되어 동작한다. 실행된 쉘코드는 C2 #1에 접속하여 추가 악성파일을 다운로드 받아오며 다운로드 된 악성파일 #1(movie.png , movie.jpg)은 DLL 파일이다. 해당 DLL 파일은 C2 #2로 사용자 PC의 정보를 전송한다. 

 

 


 

[표 3-5] 파일 정보

 

 

 

 

5) 2019.07  시스템 포팅계약서 사칭 한글 악성코드 유포

 

시스템 계약서를 사칭한 한글 문서형 악성코드이다. PS 영역에 악성 행위를 하는 스크립트가 들어있으며 XOR 인코딩 되어있다. 디코딩을 하게 되면 악성 쉘코드가 나오며 explorer.exe(정상 프로세스)에 인젝션 되어 동작한다. 인젝션 된 쉘코드에서 C2 #1에 접속하여 추가 악성파일을 다운로드 받아온다. 다운로드 된 악성파일 #1은 DLL 파일이며 C2 #2로 사용자 PC의 정보를 전송한다. 이 시기에 행위가 유사한 한글 문서형 악성코드가 다수 유포되었다. 

 

 


 

[표 3-6] 파일 정보

 

 


 

6) 2019.08  소명자료 요구서 사칭 한글 악성코드 유포

 

부동산 소명자료 제출 요구서를 사칭한 한글 문서형 악성코드이다. PS 영역에 악성 행위를 하는 스크립트가 들어있으며 XOR 인코딩 되어있다. 디코딩을 하게 되면 악성 쉘코드가 나오며 explorer.exe(정상 프로세스)에 인젝션 되어 동작한다. 인젝션 된 쉘코드에서 C2 #1에 접속하여 추가 악성파일을 다운로드 받아온다. 다운로드 된 악성파일 #1은 AA로 인코딩 되어 있다. 최종적으로 동작하는 파일의 이름은 WEB_Troy.dll이며 C2 #2로 사용자 PC의 정보를 전송한다. 

 

 


 

[표 3-7] 파일 정보

 

 


 

7) 2019.10  CES참관단 신청서 사칭 한글 악성코드 유포

 

CES 참관단 신청 문서를 사칭한 한글 문서형 악성코드이다. PS 영역에 악성 행위를 하는 스크립트가 들어있으며 XOR 인코딩 되어있다. 디코딩을 하게 되면 악성 쉘코드가 나오며 explorer.exe(정상 프로세스)에 인젝션 되어 동작한다. 해당 쉘코드에서 C2 #1에 접속하여 추가 악성파일을 다운로드 받아온다. 다운로드 된 악성파일 #1은 64bit DLL 파일이며 C2 #2로 사용자 PC의 정보를 전송한다. 

 

 


 

[표 8] 파일 정보

 

 


 

수집되었던 LAZARUS그룹의 다양한 악성코드에 대한 특성을 다음과 같이 정리해보았다. 

 

 


 

 

 


 

[표 9] #1 : 최초 파일의 특성 요약

 


 

[표 3-10] #2 : 최종 페이로드를 로드하기 위한 공격 루틴 특성

 


 

[표 3-11] #3 : 최종 페이로드

 

 


 

[표 3-12] IOC정보

 

03. 대응방안

 

작년 한 해 국내를 대상으로  LAZARUS 그룹의 추정 공격에서는 다수의 한글 문서형 악성코드가 사용되었다. 공격 대상에 따라 다양한 내용을 사칭한 문서가 사용되었으며 정상 파일 같은 형태의 악성 문서를 사용하여 다양한 기관과 기업을 사칭하여 사용자를 위협했다. 국내를 대상으로 하는 공격에서 주로 한글 문서형 악성코드를 이용하였으나 해외를 대상으로 하는 공격에서는 다양한 도구들을 이용하여 공격에 사용하고 있다. 

 

국내를 대상으로 하는 공격에서 주로 사용하는 악성코드가 한글 문서형 악성코드인 점을 감안하여 지난 2019년 12월 호에 실렸던 정상인 듯 정상 아닌 정상 같은 한글 문서형 악성코드 분석기(ver.2019) 에서 발췌한 다음의 대응방안을 권고한다. 

 

▷ 취약점 패치

CVE-2017-8291의 경우 APT37, APT38그룹이 최근 공격에서 주로 사용하는 취약점으로 알려져 있다. 한글과 컴퓨터 측에서는 이미 2017년에 보안패치를 배포하였으나 해당 취약점은 현재까지 계속해서 악성코드에 사용되고 있다. 최신 버전으로 업데이트를 유지할 시 공격 페이로드가 정상적으로 동작하지 않는다.

 

▷ ​보안에 대한 경각심과 개인의 관심이 필요

한글 악성코드의 경우 감염 시 겉으로 드러나는 특징이 없이 사용자의 정보를 수집하는 특징을 가지고 있기 때문에 사용자 스스로가 감염되었음을 눈치채기가 상당히 어려운 편이다. 따라서 사용자 스스로가 보안에 대한 경각심과 관심을 가지고 애초에 감염되지 않게 상당한 노력을 해야 한다.

 

04. 참고자료

 

1) https://www.businessinsider.com/experts-the-sony-hack-looks-a-lot-like-previous-attacks-on-south-korea-2014-12 

2) https://www.ytn.co.kr/_ln/0104_201412031803399044

3) https://blog.alyac.co.kr/category/%EC%95%85%EC%84%B1%EC%BD%94%EB%93%9C%20%EB%B6%84%EC%84%9D%20%EB%A6%AC%ED%8F%AC%ED%8A%B8

4) https://asec.ahnlab.com/category/%EC%95%85%EC%84%B1%EC%BD%94%EB%93%9C%20%EC%A0%95%EB%B3%B4

5) https://attack.mitre.org/groups/G0032/ 

6) https://www.fireeye.com/blog/kr-threat-research/2018/10/apt38-details-on-new-north-korean-regime-backed-threat-group.html 

7) https://securelist.com/operation-blockbuster-revealed/73914/ 

8) https://www.operationblockbuster.com/wp-content/uploads/2016/02/Operation-Blockbuster-Report.pdf 

9) https://malpedia.caad.fkie.fraunhofer.de/actor/lazarus_group