✅ 보고서 제목: IoC 업데이트 - 라자루스 그룹의 한국 대상 최신 공격 캠페인

✅ 보고서 요약:

- S2W의 위협 인텔리전스 센터 TALON은 최근 국내 대상으로 유포된 북한 배후의 APT 그룹 Lazarus의 악성코드를 확보하여 분석을 진행했습니다.

- 확보된 샘플은 Loader 악성코드 3종과 FastCopy 1종으로 식별되었습니다.

- Loader 악성코드를 통해 권한 상승 악성코드와 스크린샷 캡처 후 로그로 기록하는 악성코드 페이로드가 메모리 상에서 실행되었습니다.

📌 악성코드의 동작 방식은 무엇인가요?

- Loader 유형의 악성코드는 내부에 암호화 또는 인코딩되어 존재하는 페이로드를 AES 또는 XOR 연산을 통해 복호화하고 메모리에 로드하여 실행합니다.

📌 과거 사례와의 연관성

- 복호화에 사용되는 AES 및 XOR Key 값은 실행 인자를 통해 전달되며, 2023년에 Lazarus 그룹이 악용한 LazarLoader의 XOR Key가 이번 공격에서 동일하게 사용된 점이 확인되었습니다.

- 또한 파일 및 디렉터리 복사에 사용되는 FastCopy 도구는 최소 2022년부터 Lazarus 그룹이 사용하던 것과 동일한 버전(v.3.6.1)으로 식별되었습니다.

📌 악성코드 기능

- Loader (1): VMProtect로 패킹된 DLL 유형의 Loader 악성코드로, LazarLoader로 알려져 있으며 실행 인자를 Key로 사용하여 내부에 존재하는 페이로드를 XOR SUB 연산을 통해 복구하고 메모리에 로드하여 실행합니다.
  - 8d2efe5dba73e84f308fb0b954dbec12 (sub.tmp)

- Loader (2): DLL 유형의 Loader 악성코드로, 실행 인자와 실행 파일명을 하드코딩된 시드 문자열에 바이트 단위의 XOR 연산을 수행하여 최종 키를 구성한 뒤 해당 키로 AES 키 스케줄을 생성하고 복호화한 후 메모리 상에서 실행합니다.
  - d9b7a2bdda52e08fb1cbd018aafb9f1a (mscoree.dll)
  - ffc693542abc34331e967da85fc2221e (mscoree_1.dll)

- Loader (3): 바이너리 내부에 하드코딩된 키 문자열을 통해 페이로드를 XOR 연산하여 메모리 상에서 실행합니다.
  - bdadbf4af5b65131b081323417c36c82 (netuser.ini)

- FastCopy (v.3.6.1): 파일과 경로를 복사 또는 백업하기 위해 사용되는 도구로 식별됩니다.
  - 66165f3705d558235cd1dbe5f41c2866 (sub.obj)

- 권한 상승 악성코드: 공개된 UACMe의 코드를 참조한 권한 상승 악성코드가 확인되었습니다.
  - c58cd3b53f535f0388deefe77b918d8b

- 스크린샷 악성코드: 사용자 입력(키/마우스)을 감지해 활동을 트리거하고 화면을 캡처한 뒤 로그 파일로 기록합니다.
  - 7f5e0edaf3fbf38a5635d4cd0b84b57a

✅ 위협 탐지 권장 사항 및 조치 방안:

- 악성코드의 정확한 최초 유포 경로는 현 시점에서 명확히 식별되지 않았습니다. 다만 최근 Lazarus 그룹이 Watering Hole 또는 알려진 취약점을 통해 최초 침투를 수행한 사례가 보고된 바 있어 해당 경로를 통한 유포 가능성도 존재할 것으로 보입니다.

- Lazarus 그룹은 기존에 사용하던 악성코드를 지속적으로 악용하여 추가 악성코드를 배포하는 것으로 보입니다.

- 관련 지표를 기반으로 침해 여부를 점검하고 탐지 룰을 적용할 것을 권장합니다.

🧑‍💻 보고서 작성자: S2W TALON

👉 보고서 전문 문의하기: https://s2w.inc/ko/contact

*해당 보고서는 별도 문의 가능하며, S2W의 플랫폼 구독 시 전문으로 제공됩니다.