카스퍼스키, 라자루스 신종 악성코드 공격 ‘쿠키플러스’ 포착

카스퍼스키 글로벌 연구 분석팀(GReAT)은 최근 북한과 연계된 해킹 조직인 라자루스(Lazarus)가 새로운 모듈식 백도어 ‘쿠키플러스(CookiePlus)’를 활용해 핵 관련 조직의 직원들을 대상으로 한 사이버 공격을 감행했다고 22일 밝혔다.

이번 공격은 ‘오퍼레이션 드림잡(Operation DreamJob)’ 또는 ‘데스노트(DeathNote)’로 알려진 라자루스의 지속적인 캠페인의 일환으로, 2019년부터 시작돼 암호화폐 관련 기업을 주로 표적으로 삼았다. 2024년에는 유럽, 라틴아메리카, 한국, 아프리카의 IT 기업과 방위 산업 기업들로 대상이 확대됐다. 특히 최근에는 브라질의 핵 관련 조직과 베트남의 특정 산업 분야 직원들이 표적이 됐다.

피해자 호스트에서 생성된 악성 파일의 경로 (출처 : 카스퍼스키)

회사측에 따르면, 공격자들은 유명 항공우주 및 방위 산업체의 IT 직책을 위한 기술 평가로 위장한 손상된 압축 파일을 통해 악성코드를 배포했다. 이러한 파일은 주로 링크드인(LinkedIn)같은 구직 플랫폼을 통해 전달된 것으로 추정된다. 감염 체인은 다운로더, 로더, 백도어 등 다양한 악성 소프트웨어를 포함한 복잡한 구조로 이뤄져 있다. 변조된 가상 네트워크 컴퓨팅(VNC) 소프트웨어와 다른 합법적인 VNC 도구를 활용해 다단계 공격을 수행했다.

새롭게 발견된 ‘쿠키플러스’ 백도어는 오픈소스 노트패드(Notepad)++ 플러그인인 컴페어플러스(ComparePlus)로 위장돼 있었다. 이 백도어는 시스템 정보를 수집하고, 메인 모듈의 실행 일정을 조정하며, 특정 시간 동안 대기 상태를 유지하는 등 다양한 기능을 수행한다.

이효은 카스퍼스키 한국 지사장은 “라자루스 그룹은 오랫동안 글로벌 사이버 보안에 큰 위협을 주는 존재로 인식돼 왔다. 이번 오퍼레이션 드림잡의 진화는 그들의 끈질긴 작전과 핵, 방위, IT 등 중요한 산업을 겨냥한 전략적인 접근방식을 잘 보여준다. 조직들은 위협 정보를 활용하고 고급 사이버 보안 솔루션을 통해 이들의 전술을 앞서 나가야 한다. 이번 발견은 정교한 위협에 대응하기 위한 글로벌 협력의 중요성을 다시 한 번 확인시켜 준다”고 밝혔다.

카스퍼스키 글로벌 연구 분석팀의 류소준 책임은 “오퍼레이션 드림잡은 민감한 시스템 정보를 수집해 개인정보 도용이나 스파이 활동에 악용될 수 있기 때문에 큰 위험을 동반한다. 이 악성코드는 행동을 지연시켜 침투 직후 탐지를 피하고 시스템에 오랜 시간 동안 남을 수 있게 한다. 특정 실행 시간을 설정함으로써 주기적으로 작동해 눈에 띄지 않게 하며, 시스템 프로세스를 조작해 탐지를 더욱 어렵게 만들고 추가적인 피해나 악용을 초래할 수 있다”고 경고했다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

[컨퍼런스 안내]

2025 이커머스 비즈니스 인사이트 : 생존을 넘어 성장으로

일시 : 2025년 2월 18일 오후 12:30~17:30
장소 : 서울 강남구 테헤란로7길 22 ST Center (과학기술컨벤션센터) 지하 1층 대회의실 1

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다