SIGNBT 악성코드

북한과 연계된 라자루스 그룹(Lazarus Group)이 최근 사이버 공격의 가해자로 지목됐다. 이 작전에서는 신원이 밝혀지지 않은 소프트웨어 공급업체가 주요 소프트웨어의 잘 알려진 보안 취약점을 악용하여 공격을 당했습니다. 일련의 공격은 궁극적으로 SIGNBT를 포함한 위협적인 소프트웨어 제품군의 도입으로 이어졌습니다.

또한 공격자는 잠재적인 피해자 프로파일링 및 페이로드 전달과 같은 활동을 위해 이 위협 행위자가 일반적으로 사용하는 널리 알려진 해킹 도구를 사용했습니다. 이 도구는 추적 활동에서 LPEClient라고 합니다.

APT(지능형 지속 위협) 해커 그룹, 동일한 피해자를 반복적으로 표적으로 삼다

이번 공격에서 SIGNBT 악성코드를 활용한 것은 다각적인 감염 과정을 보여주며 고급 기술을 사용했습니다. Lazarus Group은 다른 소프트웨어 개발자를 손상시킬 목적으로 대상 회사 소프트웨어의 취약점을 지속적으로 악용했습니다. 가장 최근 활동에서 2023년 7월 중순을 기준으로 여러 명의 피해자가 확인되었습니다.

이들 피해자는 디지털 인증서를 통해 웹 통신을 암호화하도록 설계된 합법적인 보안 소프트웨어를 통해 공격을 받았습니다. 소프트웨어 이름은 공개되지 않았으며, SIGNBT를 배포하기 위해 무기화된 정확한 방법은 공개되지 않았습니다.

손상된 시스템에 기반을 구축하고 유지하기 위해 다양한 전략을 사용하는 것 외에도 공격 시퀀스에서는 SIGNBT 악성 코드 실행을 위한 통로 역할을 하는 인메모리 로더를 사용했습니다.

SIGNBT 악성 코드는 추가 지침을 위해 C2 서버에 연결합니다.

SIGNBT의 주요 목적은 원격 서버와의 통신을 설정하고 감염된 호스트에서 실행하기 위한 추가 지침을 검색하는 것입니다. 이 악성코드는 HTTP 기반 명령 및 제어(C2) 통신에서 "SIGNBT"라는 접두사가 붙은 고유한 문자열을 사용하여 이름을 얻었습니다.

• SIGNNBTLG, 초기 연결용
• SIGNBTKE, C2 서버로부터 SUCCESS 메시지 수신 시 시스템 메타데이터 수집용
• SIGNBTGC, 명령 가져오기용
• SIGNBTFI, 통신 실패 처리용
• SIGNBTSR, 성공적인 통신을 나타냄

한편, Windows 백도어에는 피해자의 시스템을 제어할 수 있는 다양한 기능이 탑재되어 있습니다. 이러한 기능에는 프로세스 열거, 파일 및 디렉터리 작업 수행, LPEClient 및 자격 증명 추출을 위한 기타 도구와 같은 페이로드 배포가 포함됩니다.

Lazarus Group은 계속해서 기술과 악성 코드를 발전시키고 있습니다.

2023년에 연구자들은 최소 세 가지의 서로 다른 Lazarus 캠페인을 확인했습니다. 이러한 캠페인에는 다양한 침입 방법과 감염 절차가 사용되었습니다. 그러나 그들은 최종 단계의 안전하지 않은 소프트웨어를 전달하기 위해 지속적으로 LPEClient 악성 코드를 활용했습니다.

이러한 캠페인 중 하나는 Gopuram이라는 임플란트를 도입하는 데 중추적인 역할을 했습니다. 이 임플란트는 3CX 음성 및 화상 회의 소프트웨어의 변조된 버전을 사용하여 암호화폐 회사를 대상으로 한 사이버 공격에 사용되었습니다.

이러한 최근 조사 결과는 현재 진행 중인 북한과 연계된 사이버 작전을 예시하고 Lazarus Group이 도구, 전략 및 기법을 지속적으로 개발하고 확장하고 있음을 강조합니다. Lazarus Group은 현대 사이버 보안 환경에서 여전히 적극적이고 적응력이 뛰어난 위협 행위자로 남아 있습니다.