느린 안개 보안 팀, 라자루스 그룹 침입 수법 공개

원문 제목：《암호화폐 APT 정보: 라자루스 그룹 침투 수법 공개》

저자: 23pds \& Thinking (느림안전팀)

편집: lenaxin, ChainCatcher

배경

2024년 6월 이후, 느림안전팀은 여러 팀으로부터 초대를 받아 여러 해킹 사건에 대한 증거 조사를 진행해왔습니다. 초기 축적과 지난 30일에 대한 심층 분석 조사를 통해 해킹 공격 수법과 침투 경로를 복원했습니다. 결과는 암호화폐 거래소를 겨냥한 국가급 APT 공격임을 보여줍니다. 증거 분석과 연관 추적을 통해 공격자가 바로 라자루스 그룹임을 확인했습니다.

관련 IOC(침투 지표)와 TTP(전술, 기술 및 절차)를 확보한 후, 우리는 즉시 해당 정보를 파트너에게 동기화했습니다. 동시에 다른 파트너들도 동일한 공격 방식과 침투 수법을 겪었다는 사실을 발견했습니다. 그러나 그들은 상대적으로 운이 좋았습니다 ------ 해커가 침투 과정에서 일부 보안 경고를 트리거하여, 보안 팀의 신속한 대응으로 공격이 성공적으로 차단되었습니다.

최근 암호화폐 거래소를 겨냥한 APT 공격이 지속적으로 발생하고 있는 가운데, 상황이 점점 심각해짐에 따라, 관련자와의 소통 후 공격의 IOC와 TTP를 비식별 처리하여 공개하기로 결정했습니다. 이를 통해 커뮤니티 파트너들이 신속하게 방어 및 자가 점검을 할 수 있도록 하기 위함입니다. 또한, 비밀 유지 계약의 제한으로 인해 너무 많은 파트너의 구체적인 정보를 공개할 수는 없습니다. 다음으로, 우리는 공격의 IOC와 TTP를 중점적으로 공유할 것입니다.

공격자 정보

공격자 도메인:

• gossipsnare [.] com, 51.38.145.49:443
• showmanroast [.] com, 213.252.232.171:443
• getstockprice [.] info, 131.226.2.120:443
• eclairdomain [.] com, 37.120.247.180:443
• replaydreary [.] com, 88.119.175.208:443
• coreladao [.] com
• cdn . clubinfo [.] io

관련 사건의 IP:

• 193.233.171[.]58
• 193.233.85[.]234
• 208.95.112[.]1
• 204.79.197[.]203
• 23.195.153[.]175

공격자의 GitHub 사용자 이름:

• https :// github . com / mariaauijj
• https :// github . com / patriciauiokv
• https :// github . com / lauraengmp

공격자의 소셜 계정:

• 텔레그램: @ tanzimahmed88

백도어 프로그램 이름:

• StockInvestSimulator - main . zip
• MonteCarloStockInvestSimulator - main . zip
• 유사 … StockInvestSimulator - main . zip 등

실제 프로젝트 코드:

( https :// github . com / cristianleoo / montecarlo - portfolio - management )

공격자가 변경한 가짜 프로젝트 코드:

비교해보면, data 디렉토리에 data _ fetcher . py 파일이 추가되어 있으며, 그 안에는 이상한 로더가 포함되어 있습니다:

![](https://admin2049.chaincatcher.info/upload/image/20250224/1740373839972-802342.webp)

공격자가 사용하는 백도어 기술

공격자는 pyyaml을 이용하여 RCE(원격 코드 실행)를 수행하고, 악성 코드를 배포하여 목표 컴퓨터와 서버를 제어합니다. 이 방식은 대부분의 백신 소프트웨어의 탐지를 우회합니다. 파트너와 정보를 동기화한 후, 우리는 여러 유사한 악성 샘플을 추가로 확보했습니다.

핵심 기술 분석 참고: https :// github . com / yaml / py yaml / wiki / PyYAML - yaml . load ( input )- Deprecation # how - to - disable - the - warning

느림안전팀은 샘플에 대한 심층 분석을 통해 공격자가 pyyaml을 이용하여 RCE(원격 코드 실행)를 수행하는 공격 수법을 성공적으로 재현했습니다.

공격 핵심 분석

목표와 동기

목표: 공격자의 주요 목표는 암호화폐 거래소의 인프라를 침투하여 지갑에 대한 제어권을 확보하고, 이를 통해 지갑 내 대량의 암호 자산을 불법적으로 이전하는 것입니다.

동기: 고가치의 암호화폐 자산을 탈취하려는 시도입니다.

기술 수단

1. 초기 침투

• 공격자는 사회 공학 수단을 이용하여 직원이 로컬 장치나 Docker 내에서 정상적인 코드처럼 보이는 것을 실행하도록 유도합니다.
• 이번 조사에서 우리는 공격자가 사용한 악성 소프트웨어가 ` StockInvestSimulator - main . zip `와 ` MonteCarlo StockInvestSimulator - main . zip `임을 발견했습니다. 이 파일들은 합법적인 Python 프로젝트로 위장하고 있지만, 실제로는 원격 제어 트로이 목마이며, 공격자는 pyyaml을 이용하여 RCE를 수행하여 악성 코드를 배포하고 실행하는 수단으로 사용하여 대부분의 백신 소프트웨어의 탐지를 우회했습니다.

1. 권한 상승

• 공격자는 악성 소프트웨어를 통해 직원 장치의 로컬 제어 권한을 성공적으로 확보하고, 직원에게 docker - compose . yaml에서 privileged를 true로 설정하도록 유도합니다.
• 공격자는 privileged가 true로 설정된 조건을 이용하여 권한을 추가로 상승시켜 목표 장치를 완전히 제어하게 됩니다.

1. 내부 정찰 및 수평 이동

• 공격자는 침투된 직원 컴퓨터를 이용하여 내부 네트워크를 스캔합니다.
• 이후 공격자는 내부 네트워크의 서비스와 애플리케이션 취약점을 이용하여 기업 내부 서버를 추가로 침투합니다.
• 공격자는 주요 서버의 SSH 키를 탈취하고, 서버 간의 화이트리스트 신뢰 관계를 이용하여 지갑 서버로 수평 이동을 수행합니다.

1. 암호 자산 이전

• 공격자는 지갑에 대한 제어권을 성공적으로 확보한 후, 대량의 암호 자산을 불법적으로 자신의 지갑 주소로 이전합니다.

1. 흔적 숨기기

• 공격자는 합법적인 기업 도구, 애플리케이션 서비스 및 인프라를 점프 보드로 사용하여 자신의 불법 활동의 실제 출처를 숨기고, 로그 데이터 및 샘플 데이터를 삭제하거나 파괴합니다.

과정

공격자는 사회 공학 수단을 통해 목표를 유도하며, 일반적인 방식은 다음과 같습니다:

1. 프로젝트 측으로 위장하여 주요 목표 개발자를 찾아 도움을 요청하고, 신뢰를 얻기 위해 보수를 미리 지급하겠다고 제안합니다.

우리는 관련 IP 및 ua 정보를 추적한 결과, 이 거래는 제3자 대납에 해당하며, 큰 가치가 없음을 발견했습니다.

2. 공격자는 자동화 거래 또는 투자자로 위장하여 거래 분석 또는 양적 코드를 제공하고, 주요 목표가 악성 프로그램을 실행하도록 유도합니다. 악성 프로그램이 장치에서 실행되면, 지속적인 백도어를 구축하고 공격자에게 원격 접근 권한을 제공합니다.

• 공격자는 침투된 장치를 이용하여 내부 네트워크를 스캔하고, 주요 서버를 식별하며, 기업 애플리케이션의 취약점을 이용하여 기업 네트워크를 추가로 침투합니다. 모든 공격 행위는 침투된 장치의 VPN 트래픽을 통해 이루어져 대부분의 보안 장비의 탐지를 우회합니다.
• 관련 애플리케이션 서버 권한을 성공적으로 확보하면, 공격자는 주요 서버의 SSH 키를 탈취하고, 이 서버의 권한을 이용하여 수평 이동을 수행하여 결국 지갑 서버를 제어하고 암호 자산을 외부 주소로 이전합니다. 이 과정에서 공격자는 기업 내부 도구와 인프라를巧妙하게 이용하여 공격 행위를 신속하게 감지하기 어렵게 만듭니다.
• 공격자는 직원에게 디버깅 실행 프로그램을 삭제하도록 유도하고, 디버깅 보수를 제공하여 공격 흔적을 숨깁니다.

또한 일부 피해 직원들이 책임 추궁 등의 문제를 우려하여 관련 정보를 자발적으로 삭제할 수 있어, 공격 발생 후 관련 상황을 신속하게 보고하지 않아 조사 및 증거 수집이 더욱 어려워질 수 있습니다.

대응 제안

APT(고급 지속적 위협) 공격은 그 은폐성이 강하고, 목표가 명확하며, 장기간 잠복하는 특성으로 인해 방어가 매우 어렵습니다. 전통적인 보안 조치는 복잡한 침투 행동을 탐지하기 어려운 경우가 많으므로, 실시간 모니터링, 비정상 트래픽 분석, 엔드포인트 보호 및 중앙 로그 관리 등 다층 네트워크 보안 솔루션을 결합해야만 공격자의 침투 흔적을 조기에 발견하고 인지할 수 있습니다. 느림안전팀은 8가지 방어 방향과 제안을 제시하여 커뮤니티 파트너들에게 방어 배치의 참고가 되기를 바랍니다:

1. 네트워크 프록시 보안 구성

목표: 네트워크 프록시에서 보안 정책을 구성하여 제로 트러스트 모델 기반의 보안 결정 및 서비스 관리를 구현합니다.

해결책: Fortinet (https://www.fortinet.com/), Akamai (https://www.akamai.com/glossary/where-to-start-with-zero-trust), Cloudflare (https://www.cloudflare.com/zero-trust/products/access/) 등.

2. DNS 트래픽 보안 보호

목표: DNS 레벨에서 보안 제어를 시행하여 알려진 악성 도메인 해석 요청을 탐지하고 차단하여 DNS 사기 또는 데이터 유출을 방지합니다.

해결책: Cisco Umbrella (https://umbrella.cisco.com/) 등.

3. 네트워크 트래픽/호스트 모니터링 및 위협 탐지

목표: 네트워크 요청의 데이터 흐름을 분석하고, 실시간으로 비정상 행동을 모니터링하여 잠재적 공격(예: IDS/IPS)을 식별하며, 서버에 HIDS를 설치하여 공격자의 취약점 이용 등 공격 행동을 조기에 발견합니다.

해결책: SolarWinds Network Performance Monitor (https://www.solarwinds.com/), Palo Alto (https://www.paloaltonetworks.com/), Fortinet (https://www.fortinet.com/), 알리바바 클라우드 보안 센터 (https://www.alibabacloud.com/zh/product/security_center), GlassWire (https://www.glasswire.com/) 등.

4. 네트워크 분할 및 격리

목표: 네트워크를 더 작은 상호 격리된 영역으로 나누어 위협 전파 범위를 제한하고 보안 제어 능력을 강화합니다.

해결책: Cisco Identity Services Engine (https://www.cisco.com/site/us/en/products/security/identity-services-engine/index.html), 클라우드 플랫폼 보안 그룹 정책 등.

5. 시스템 강화 조치

목표: 보안 강화 정책(예: 구성 관리, 취약점 스캔 및 패치 업데이트)을 시행하여 시스템 취약성을 낮추고 방어 능력을 향상시킵니다.

해결책: Tenable.com (https://www.tenable.com/), public.cyber.mil (https://public.cyber.mil) 등.

6. 엔드포인트 가시성 및 위협 탐지

목표: 엔드포인트 장치 활동에 대한 실시간 모니터링을 제공하고 잠재적 위협을 식별하여 신속한 대응을 지원합니다(예: EDR), 애플리케이션 화이트리스트 메커니즘을 설정하여 비정상 프로그램을 발견하고 신속하게 경고합니다.

해결책: CrowdStrike Falcon (https://www.crowdstrike.com/), Microsoft Defender for Endpoint (https://learn.microsoft.com/en-us/defender-endpoint/microsoft-defender-endpoint), Jamf (https://www.jamf.com/) 또는 WDAC (https://learn.microsoft.com/en-us/hololens/windows-defender-application-control-wdac) 등.

7. 중앙 로그 관리 및 분석

목표: 다양한 시스템에서 발생하는 로그 데이터를 통합하여 단일 플랫폼에 저장하여 보안 사건의 추적, 분석 및 대응을 용이하게 합니다.

해결책: Splunk Enterprise Security (https://www.splunk.com/), Graylog (https://graylog.org/), ELK (Elasticsearch, Logstash, Kibana) 등.

8. 팀의 보안 인식 향상

목표: 조직 구성원의 보안 인식을 높여 대부분의 사회 공학 공격을 식별할 수 있도록 하고, 사건 발생 후 비정상 상황을 신속하게 보고하여 조사를 더 신속하게 진행할 수 있도록 합니다.

해결책: 블록체인 어둠의 숲 자구책 (https://darkhandbook.io/), Web3 피싱 수법 분석 (https://github.com/slowmist/Knowledge-Base/blob/master/security-research/Web3%20%E9%92%93%E9%B1%BC%E6%89%8B%E6%B3%95%E8%A7%A3%E6%9E%90.pdf) 등.

또한, 우리는 주기적으로 레드-블루 대결 훈련을 실시하여 보안 프로세스 관리 및 보안 방어 배치의 약점을 식별할 것을 권장합니다.

마무리하며

공격 사건은 종종 주말 및 전통적인 공휴일 동안 발생하여 사건 대응 및 자원 조정에 상당한 도전을 줍니다. 이 과정에서 느림안전팀의 23pds(산형), Thinking, Reborn 등 관련 구성원들은 항상 경계를 유지하며, 휴일 동안 교대 응급 대응을 통해 지속적으로 조사 분석을 추진했습니다. 결국 우리는 공격자의 수법과 침투 경로를 성공적으로 복원했습니다.

이번 조사를 되돌아보면, 우리는 라자루스 그룹의 공격 방식을 밝혀낼 뿐만 아니라, 그들이 사회 공학, 취약점 이용, 권한 상승, 내부 침투 및 자금 이전 등 일련의 전술을 활용한 것을 분석했습니다. 동시에 우리는 실제 사례를 바탕으로 APT 공격에 대한 방어 제안을 정리하여, 업계에 참고가 되기를 바라며, 더 많은 기관들이 보안 방어 능력을 향상시키고 잠재적 위협의 영향을 줄일 수 있도록 돕기를 희망합니다. 사이버 보안 대결은 지속적인 전쟁이며, 우리는 유사한 공격을 지속적으로 주시하여 커뮤니티가 위협에 공동으로 저항할 수 있도록 지원할 것입니다.