1. 개요

    • Lazarus 해커그룹에서 사용한 C&C IP로 북한에서의 접근이 발견됨

2. 내용

    • 뉴스관련 요약
      • 2016년 Lazarus라는 해커 그룹에 의해 방글라데시 중앙은행에서 8천 1백만 달러(약950억원)가 필리핀과 스리랑카 은행 계좌로 빠져나가는 사고 발생
      • Lazarus는 악명 높은 사이버 스파이 조직으로 파괴적인 공격을 꾸준히 자행해왔으며 2009년 이래로 전 세계 18개국 이상의 다양한 제조 기업, 미디어 및 금융 기관을 해킹한 것으로 유명
      • 2015년 12월부터 대한민국, 방글라데시, 인도, 베트남, 인도네시아, 코스타리카, 말레이시아, 폴란드, 이라크 등 여러 국가에 소재한 투자 기업의 카지노 소프트웨어 개발자, 암호화 화폐 업체, 금융 기관에서 Lazarus 조직과 연관성이 있는 악성코드 샘플 발견
      • Lazarus 해커들은 해킹에 사용된 서버에서 로그파일을 모두 지우는 등의 방식으로 완전 범죄를 꿈꾸고 있기는 하나, Lazarus가 침투했던 한 서버에서 명령제어(C&C) 서버 테스트기간 동안 북한의 IP주소에서 접속한 정보를 남기는 치명적인 실수를 범함
      • 인터넷상에서 북한의 존재가 확인된 것은 극히 드물며, 북한이 무작위로 접속하다가 Lazarus와연결됐다고 볼 가능성은 극도로 낮음
      • 해킹해 춤친 돈으로 핵과 미사일 개발 프로그램에 사용하는 것으로 보여짐
    • 공격방식
      • 초기침투 - 원격 액세스가 가능한 취약 코드(cf. 외부 웹 서버에 존재)를 사용하거나 웹 사이트에 이식한 익스플로잇을 통한 워터링홀 공격으로 은행 내부의 한 컴퓨터가 악성코드에 감염돼 은행의 다른 구성요소까지 침투
        ※ 워터링홀 공격 : 공격대상 사용자들이 주로 방문하는 웹 사이트를 조사하여, 감염시키고 피해 대상이 그 웹사이트를 방문할 때까지 기다리는 웹 기반 공격
      • 발판 만련 - 다음으로 다른 은행 컴퓨터로 이동해 백도어를 구축
        ※ 백도어 : 악성코드를 통해 해커들이 언제든지 드나들 수 있는 문과 같은 개념
      • 내부 정찰 - 이후 Lazarus는 상당 시간 해당 네트워크를 분석하고 중요한 리소스를 파악. 리소스로는 인증 정보가 저장된 백업 서버, 메일 서버, 회사의 각 보안 액세서에 대한 암호가 포함된 도메인 컨트롤러 전체, 금융 거래기록 저장/처리 서버 등
      • 전달 및 절도 - 마지막으로 금융 소프트웨어의 내부 보안 기능을 우회하고 은행을 대신해 악의적인 거래를 생성하는 특수 악성 코드를 구축


+ Recent posts