북한 배후 해커그룹으로 알려진 라자루스그룹이 정보 획득을 위해 의료 및 에너지 부문 조직을 노리는 것으로 나타났다.
핀란드 사이버 보안 회사 화이트시큐어는 지난 2일 라자루스 그룹의 사이버공격에 대한 보고서를 발표했다.
화이트시큐어 보고서에 따르면, 북한 배후 해커 그룹으로 알려진 라자루스 그룹은 공공 및 민간 연구기관, 의학 연구, 에너지 부문 및 공급망 부문을 대상으로 공격을 실행한 것으로 나타났다.
라자루스 그룹은 약 100GB의 고객 데이터를 빼낸 것으로 추정됐다. 화이트시큐어에 따르면 라자루스 그룹의 이 같은 공격은 금전을 목적으로 한 랜섬웨어 공격이 아닌 정보 획득을 위한 것으로 추정됐다.
라자루스 그룹은 스파이 활동을 목적으로 의료 연구 및 에너지 조직을 표적으로 삼은 것으로 분석됐다. 화이트시큐어 연구원들이 분석한 결과, 라자루스 그룹이 표적으로 삼은 대상은 의료 연구 조직, 에너지, 연구, 방위 및 의료 분야에서 사용되는 기술 제조업체, 주요 연구 대학의 화학 공학 부서 등이었다.
화이트시큐어 연구원들은 도메인 이름 없이 IP 주소만 사용하는 등 새로운 인프라를 사용한다는 점이 이전 라자루스 그룹 활동과는 다른 주목할만한 점이라고 소개했다.
관련기사
- FBI "1억 달러 암호화폐 훔친 北 해커는 라자루스와 APT38"2023.01.26
- 北해커, 가짜 코인베이스 채용 메일로 암호화폐 전문가 노린다2022.08.08
- 미국 제재 비웃듯…北 해커, 훔친 암호화폐 세탁2022.04.18
- 北 해커, 암호화폐 거래소 털어 4억 달러 벌었다2022.01.17
이외에도 ▲라자루스 그룹과 또 다른 북한 배후 해커 조직인 김수키가 이전 공격에서 사용한 디트랙(Dtrack) 정보 탈취 멀웨어의 수정된 버전을 사용한 점 ▲공격자가 방화벽을 우회하는 원격 데스크톱 프로토콜 권한을 사용해 새로운 관리자 계정을 생성할 수 있도록 하는 새로운 버전의 그리스(GREASE) 악성코드를 사용했다는 점이 이전 공격과는 다른 점이었다.
한편, 북한에는 150개 이상의 국가에서 활동하는 약 6천명의 해커가 있는 것으로 알려졌다.
