얼마 전, 개인적으로 운용하고 있는 MISP(Malware Information Sharing Platform)에 Lazarus 그룹이 pypi를 이용해 공격을 수행한 것과 관련된 이벤트가 잡혔다.
해당 이벤트에 나타나는 IoC(Indicator of Compromise)에서 다른 여러 공격과의 연관성이 확인되었다. 이벤트는 아래 otx에서 확인할 수 있다.
https://otx.alienvault.com/pulse/668bc4877a1f909fc99a829d
LevelBlue - Open Threat Exchange
Learn about the latest cyber threats. Research, collaborate, and share threat intelligence in real time. Protect yourself and the community against today's emerging threats.
otx.alienvault.com
아래와 같이 Lazarus의 이전 공격들과 같은 도메인이 공격에 사용된걸 볼 수 있다.
(아래 그림의 Moonstone Sleet emegers ~, ZINC attacks against security ~ 등의 이벤트이다.)
이 연관지표로 알 수 있는 것은 Lazarus 그룹은 이전 공격에 사용했던 도메인을 공격에 재사용하고 있다는 점이다. 심지어 그림의 ZINC attacks against security ~ 이벤트의 경우는 2021년 1월경 발생했던 공격이다. 해당 공격과 이번에 발견된 공격에 같은 도메인이 사용되었다는 점은 과거/최근 상관없이 한 번 침해했던 사이트에 대해 다시 침해하거나 지속적으로 관리자 권한을 유지하며 공격에 사용한다고 볼 수 있다.
또한, 연관 지표들의 공격들은 Pypi와 직접적인 관련이 없는 공격도 존재한다. 이는 여타 공격 그룹들이 그러하듯 Lazarus 그룹은 공격 표면으로 이용하는 Pypi 등은 최종 페이로드를 피해자에게 유포하기 위한 과정이라는 것을 보여준다.
나타난 도메인들이 공격 이후에 취약점 패치 등의 조치가 취해졌다면 재사용되는 일은 없었을 것이라 보여진다.
'Analysis' 카테고리의 다른 글
| 78. CVE-2017-0199 Correlation (0) | 2024.08.02 |
|---|---|
| 77. Kimsuky's TRANSLATEXT (0) | 2024.07.30 |
| 75. Kimsuky's outlook stealer (0) | 2024.07.03 |
| 74. Correlation APT42 & Lazarus (0) | 2024.06.04 |
| 73. Kimsuky's 애니챗_20240511.xlsx.lnk (0) | 2024.05.13 |
