국가 APT 조직은 국가 배경을 기반으로 하는 최고의 해킹 조직으로 특정 대상에 대한 장기적이고 지속적인

사이버 공격에 중점을 둔다.

이에 中 싱크탱크는 전세계 각 지역에서 활동하고 있는 주요 APT 조직에 대한 칼럼을 연재하고 있다.

 

배경 : 히든 코브라, Zinc, APT-C-26 등으로 알려진 라자루스는 동아시아 특정 국가에서 가장 활발한 APT 조직 중 하나이다.

공격의 주 목적은 자금 탈취로, 현재 전세계 금융기관에 가장 큰 위협이 되고 있다.

라자루스는 2009년 이후 공격 활동이 급격히 증가했고 특히 2017년 이후 공격 작전을 강화하여

폴란드와 멕시코 은행에 대한 공격, 워너크라이 바이러스 유포, 美 정부 계약 업체 대상 스피어 피싱 공격 등

영향력이 큰 다수의 공격을 실시했다.

뿐만 아니라 자금 탈취 목적으로 은행, 비트코인 거래소 등 금융기관과 개인에 대한 표적적 공격을 실시하고 중요한

정보를 탈취하기 위해 항공 우주, 엔지니어링, 기술, 정부 기관, 언론사 및 기업 등에 침투하고 있다.

 

라자루스의 공격 특징, 수단 및 도구 : 초기 라자루스는 봇넷을 이용하여 DDoS 공격을 수행했고 이후에는 주요 공격 방식

스피어피싱, 워터링 홀, 공급망 공격으로 변경, 또한 사회공학적 방식도 사용했다.

라자루스의 공격 방식은 주로 다음과 같은 특징이 있다.

  1. 공격 주기가 일반적으로 길고 오랜 잠복기를 거치며 다양한 방법을 사용하여 대상을 유도한다.
  2. 피싱 문서는 매우 혼란스럽고 유인하기 쉬운 이슈들로, 배후를 식별하기 어렵도록 되어있다.
  3. 공격 프로세스는 시스템 손상, 또는 응용프로그램 이벤트 분석을 통해 이루어진다.
  4. SMB 프로토콜 취약점 또는 관련 웜 도구를 사용하여 측면 이동 및 페이로드를 주입한다.
  5. 공격 이후 사용된 툴셋의 소스코드는 수정된다.

 

이 밖에 中 싱크탱크는 라자루스틔 공격 수단, 공격 도구 및 기술적 특성, 주요 공격 사건 등을 분석했다.

[출처 : 中 싱크탱크 / 9.10.]