220420_유명조달기업
북 해커 라자루스, Log4J 취약점 통해 VM웨어 서버 공격
상태바
북 해커 라자루스, Log4J 취약점 통해 VM웨어 서버 공격
  • 곽중희 기자
  • 승인 2022.05.23 18:21
  • 댓글 0
이 기사를 공유합니다

4월부터 계속된 공격, 백도어 설치해 원격 조종

북 연계 APT 해커 조직 라자루스가 VM웨어의 호리즌 서버를 대상으로 Log4J 원격 코드 실행(RCE)을 악용한 해킹을 시도하고 있다. 전문가들에 따르면, 이들은 Log4J RCE 취약점 CVE-2021-44228를 악용해 서버를 손상시키고 있는 것으로 알려졌다.

안랩 ASEC 분석팀 연구원에 따르면, 라자루스는 2022년 4월부터 호리즌 서버에 대한 공격을 시작했다. 이들은 호리즌 서버의의 프로세스 'ws_tomcatservice.exe'에서 powershell 명령을 실행하고, 이를 통해 취약한 서버에 NukeSped 백도어를 설치했다. 이 백도어는 2019년에 포티넷 연구원에 의해 처음으로 발견됐는데 라자루스와 관련이 있는 것으로 파악됐다.

ASEC 팀 분석에 따르면, 백도어는 C++로 개발됐으며 C2 통신을 위해 가상 기능과 RC4 알고리즘을 사용한다. 또한 키로깅, 스크린샷 찍기, 파일 및 셀 작업을 수행할 수 있으며, USB 콘텐츠를 덤프하고 특정 모듈을 사용해 웹 카메라 장치에도 접근할 수 있다.

보안 전문가에 따르면, 해커는 백도어를 사용해 'infostealer'라는 악성코드를 추가로 설치했다. 발견된 2개의 악성코드는 모두 콘솔 유형이며 유출 데이터를 별도의 파일에 저장하지 않는다. 다만 해커는 원격으로 사용자 PC의 GUI 화면을 제어하거나 파이프 라인 형태로 데이터를 유출하는 것으로 추정된다.

한편, 지난 1월 VM웨어는 호리즌 서버의 Log4j 보안 취약점을 패치하겠다고 밝힌 바 있다.

 

*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.