✅ 보고서 제목: 위협 그룹 프로파일링 - 라자루스(Lazarus)

S2W 위협 인텔리전스센터 탈론에서 북한 정찰총국 소속의 APT 그룹으로 알려진 라자루스(Lazarus)에 대한 위협 그룹 프로파일링 보고서를 공개합니다.

해당 보고서는 라자루스에 대한 조직적 특성과 및 최신 공격 기법(TTPs)을 확인할 수 있는 난이도 높은 위협 인텔리전스 보고서입니다.

✅ 보고서 요약:

📌 라자루스(Lazarus) APT 그룹은 누구인가요?

- 라자루스 그룹은 북한 정부가 배후에 있는 대표적인 APT 그룹으로, 2009년경부터 본격적인 활동을 시작한 것으로 추정됩니다.

- Hidden Cobra, Guardians of Peace, Labyrinth Chollima, UNC4034, BlackArtemis, ZINC, Nickel Academy, APT-C-26, Diamond Sleet 등 다양한 명칭으로도 알려져 있습니다.

- 전 세계 기관 및 기업을 대상으로 정보 탈취, 시스템 파괴, 가상자산 탈취 등 다양한 목적의 공격을 수행해왔으며, 2023년 1월 이후로만 최소 25건 이상의 공격을 수행한 것으로 분석됩니다.

- 초기 침투 단계에서는 취약점 익스플로잇 및 워터링 홀(Exploit Vulnerability & Watering Hole), 피싱(Phishing), 공급망 공격(Supply Chain Attack) 등 다양한 수법이 활용됩니다.

📌 라자루스의 주요 전술, 기술 및 절차 (Tactics, Techniques, and Procedures, TTPs)

- Exploit Vulnerability & Watering Hole: 라자루스는 최근 몇 년간 정상적인 웹사이트를 해킹해 워터링 홀로 악용하는 공격을 지속적으로 수행하고 있습니다. 특히 제로데이 및 원격 코드 실행(RCE) 취약점을 이용해 웹 서버에 침투하는 사례가 다수 확인되었습니다.

- Phishing: 피싱 메일을 통해 악성코드를 유포하거나, 소셜네트워크 서비스(X, Signal, WhatsApp, Wire 등)를 통해 공격 대상에게 접근하여 악성 매크로(T1137.001) 및 원격 템플릿 인젝션(T1221) 기법이 적용된 문서를 전달하는 방식을 활용합니다.

  - 주요 사례: Operation DreamJob, 암호화폐 관련 테마의 피싱 사이트 운영, MATA 악성코드 유포 캠페인 등

- Supply Chain: 보안 솔루션, IT 소프트웨어 등 제3자 공급망을 통한 악성코드 유포 사례도 지속적으로 확인되고 있습니다.

  - 주요 사례: 3CX 공급망 침해 사건

- 공통 공격 기법: 초기 침투 방식과 관계없이, Timestomp(T1070.006), Indicator Removal(T1070), Reflective Code Loading(T1260), DLL Side-Loading(T1574.002) 등의 기술이 공통적으로 나타나는 특징이 있습니다.

✅ 위협 탐지 권장 사항 및 조치 방안:

- 라자루스 그룹은 공급망 공격과 알려지지 않은 제로데이 취약점을 악용해 악성코드를 유포하고 있으며, 이에 따른 글로벌 피해가 지속적으로 발생하고 있습니다.

- 특히 국내 다수 기업의 웹사이트를 손상시켜 워터링 홀 사이트로 악용하고, 제로데이 기반 악성코드를 사용한다는 점에서 가장 위협적인 APT 그룹 중 하나로 평가됩니다.

- 각 기업은 내부 환경에 부합하는 TTP를 분석하고, 위협 헌팅 및 탐지 기술의 우선순위를 재정비하여 조직 전반의 보안 수준을 선제적으로 강화할 필요가 있습니다.

🧑‍💻 보고서 작성자: S2W TALON

👉 보고서 전문 문의하기: https://s2w.inc/ko/contact

*해당 보고서는 별도 문의 가능하며, S2W의 플랫폼 구독 시 전문으로 제공됩니다.