ESET(이셋), 베라포트를 활용한 새로운 라자루스(Lazarus) 공급망 공격 발견

 

사이버 보안의 글로벌 리더인 ESET(이셋)의 국내 법인 이셋코리아(www.estc.co.kr)는 최근 한국에서 공급망공격 (공급망의 보안 수준이 낮은 부분)을 통해 라자루스(Lazarus) 악성코드를 배포하려는 시도를 발견했다고 전했습니다. 악성코드를 배포하기 위해 공격자들은 서로 다른 두 회사에서 훔친 합법적 한국 보안 소프트웨어와 인증서를 남용하는 비정상적인 공급망 메커니즘을 사용했습니다. 한국 인터넷 사용자들은 정부 또는 인터넷 뱅킹 웹 사이트를 방문할 때 보안 소프트웨어를 추가로 설치해야 하는 경우가 많아 라자루스는 공격이 더 쉬워졌습니다.

 

“이 새로운 공급망 공격을 이해하려면 통합 설치 프로그램이라고 불리는 WIZVERA VeraPort가 이런 추가보안 소프트웨어 관리를 지원하는 한국의 응용 프로그램이라는 것을 알아야 합니다. WIZVERA VeraPort가 설치되면 사용자는 특정 웹 사이트에 필요한 모든 소프트웨어를 받아 설치합니다. 이러한 소프트웨어를 설치를 시작하려면 최소한의 사용자 상호 작용이 필요합니다.” 라고 이번 공격에 대한 조사를 주도한 ESET 연구원 Anton Cherepanov는 설명했습니다. “보통 이 소프트웨어는 한국의 정부 및 은행 웹 사이트에서 사용되며 이 웹사이트들 중 일부의 경우 WIZVERA VeraPort를 반드시 설치해야 합니다.” 라고 Cherepanov는 덧붙였습니다.

 

또한 공격자는 악성코드 샘플에 서명하기 위해 불법적으로 얻은 코드 서명 인증서를 사용했습니다. 흥미롭게도 이러한 인증서 중 하나는 한국 보안 회사의 미국 지사에서 발급되었습니다. “공격자들은 라자루스 악성코드 샘플을 합법적인 소프트웨어로 위장했습니다. 이 샘플에는 합법적 한국 소프트웨어와 유사한 파일명, 아이콘 및 자원이 있습니다.” Cherepanov와 함께 라자루스 공격을 분석한 ESET 연구원인 Peter Kálnai는 설명했습니다. Kálnai는 "이는 공격자가 이 공격을 수행할 수 있도록 허용하는 WIZVERA VeraPort 지원 및 특정 VeraPort 구성 옵션과 손상된 웹 사이트의 조합입니다." 라고 추가했습니다.

 

ESET 연구원들은 KrCERT가 사이버 보안 연구 커뮤니티의 일부 사람들에 의해 라자루스에 귀속된 ‘Operation BookCodes’ 라고 불렀던 공격의 연장선 상에 있기 때문에 이번 공격을 라자루스의 소행으로 보고 있습니다. 다른 이유로 전형적인 툴셋 특성이 있습니다. 탐지 (많은 도구가 ESET에서 이미 NukeSped로 플래그 지정), 라자루스가 운용하는 것으로 알려진 한국에서 공격이 발생했다는 사실, 사용된 침입 및 암호화 방법의 비정상적 사용자 정의된 특성, 그리고 네트워크 인프라의 설정 등이 있습니다.

 

라자루스 툴셋은 매우 광범위하다는 사실에 유의해야 하며, ESET은 수많은 하위 그룹이 있다고 믿습니다. 일부 다른 범죄 집단이 사용하는 툴셋과는 달리 어떤 라자루스 도구의 소스 코드는 공개되어 있지 않습니다.

 

최신 라자루스 공급망 공격에 대한 자세한 기술 정보는 WeLiveSecurity 의 블로그 게시물 “Lazarus supply-chain attack in South Korea"를 참조하십시오.

 

 

• 보안뉴스 | [긴급] 베라포트 악용한 공급망 공격 발견! 북한 해킹조직 라자루스로 추정
• 바이라인네크워크 | “금융 보안 배포 솔루션 ‘베라포트’ 악용한 공급망공격, 배후는 라자루스”
• 데이터넷 | 이셋 “공인인증서 프로그램 이용 공급망 공격 발생”
• 뉴스핌 | 北 배후 추정' 해킹조직, 한국 인터넷뱅킹 보안프로그램 공급망 공격
• 데일리안 | 오프라인 국경봉쇄 북한, 온라인에선 '무법자'