미국이 기소한 북한 해커 박진혁 소속 라자루스 그룹… 국내 PC 및 IT분야 마니아 층 공격 포착
인터넷 커뮤니티 자료실에 은밀히 악성코드 유포… 해외는 주로 항공 및 방위산업체 대상 스피어 피싱 공격
지난 4월 1일 인천시 코로나 바이러스 감염병관리지원단 사칭 공격의 연장선 분석

지난 6월 22일 오전 한국의 특정 인터넷 커뮤니티 자료실을 통해 마치 유용한 프로그램처럼 위장한 악성 파일이 불특정 다수에게 무차별 유포됐다고 통합보안 기업 이스트시큐리티(대표 정상원)가 밝혔다.

해당 악성 파일이 포함된 게시물은 22일 오전 8시 49분경 등록되었고, 당일 기준 약 1,600여 명이 조회한 것으로 확인됐다. 악성 파일은 ‘시력 보호 프로그램’을 사칭하고 있으며, 23일 오전 기준 게시물은 삭제된 상태다.

이스트시큐리티 시큐리티대응센터(ESRC)는 공격자가 기존의 정상 프로그램을 임의로 변조해 파일 내부에 악성코드를 추가로 삽입했고, 설치 및 삭제 과정에서 악성코드가 은밀히 작동되도록 정교하게 기능을 추가한 것으로 분석했다. 만약 해당 자료실에 등록된 프로그램을 다운로드해 실행하게 될 경우, 자신도 모르게 악성 프로그램에 감염돼 잠재적인 사이버 위협에 노출될 우려가 있다. 다만, 해당 악성코드가 윈도 64비트 OS 기반으로 제작되어 사용 환경에 따라 다소 차이가 발생할 수 있고, 변종에 따라 32비트도 감염될 수 있다.

아울러 이번 악성 파일을 심층 분석한 결과, 미국이 북한 해킹조직으로 지목한 ‘라자루스(Lazarus)’ 그룹의 소행으로 조사됐다. 이들은 美 재무부로부터 제재 대상인 해킹 조직으로 미국에선 ‘히든 코브라’라는 이름으로도 통용되며, 최근까지 국내외에서 매우 활발한 사이버 위협 활동을 펼치고 있는 것으로 악명이 높다.

출처:https://www.boannews.com/media/view.asp?idx=89166