세계적인 사이버 범죄 조직 라자루스(Lazarus)가 우리나라와 미국의 서버를 이용해 APT 공격을 수행하고 있는 것으로 분석됐다.
이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직 시큐리티대응센터(ESRC)에 따르면 ‘히든 코브라 패스트 캐시 캠페인’ ATM 공격과 유사한 악성코드가 미국과 한국의 서버와 C&C 통신을 하는 것으로 분석됐다.
히든 코브라는 미 국토안보부(DHS) 산하 침해사고대응팀(US-CERT)에서 공개한 것으로, 남아프리카 공화국, 나이지리아, 케냐 등에서 발견됐다. ESRC는 지난 3월 해외 암호화폐 거래소와 핀테크 관련 회사를 공격했던 라자루스 공격 그룹이 히든 코브라 공격과 유사한 공격도구를 사용하고 있으며, 이번에 발견된 새로운 공격과도 코드 구조가 일치하는 것을 확인했다고 설명했다.
이번에 발견된 악성문서 파일은 MS 워드 프로그램에서 악성 매크로를 사용하도록 유도하며, 특정 웹사이트에서추가 악성코드를 설치하도록 한다. 이 코드를 분석하면 영어권 사람을 공격하기 위해 제작됐지만, 한글 기반 환경에서 제작했을 가능성도 나타난다.
C&C 서버는 한국과 미국에서 각각 2개의 IP를 사용하고 있으며, 일부는 악성코드 유포지로도 사용되고 있다. 악성파일은 감염 대상 컴퓨터에서 정보를 수집하며, C&C 서버에서 추가 파일을 다운로드 할 수 있는 것으로 알려졌다.
ESRC 관계자는 “최근까지도 정부지원을 받는 것으로 추정되는 APT 공격그룹의 활동이 매우 활발히 전개되고 있다는 점에 각별한 주의가 필요하다”고 말했다.
