라자루스(Lazarus) 그룹, 이스라엘 군수업체 대상 APT 역습
Contents
라자루스(Lazarus) 그룹, 이스라엘 군수업체 대상 APT 역습
안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다.
2019년 03월 26일(현지시간) 이스라엘의 하레츠 매체에 따르면, 북한 연계 해커조직 라자루스(Lazarus)가 이스라엘의 특정 회사에 대한 사이버 공격 정황이 포착되었다고 밝혔습니다.
[그림 1] 이스라엘 보도 내용 (출처: North Korean Hackers Cited in Rare Attack in Israel)
■ 이스라엘 군수업체를 공격한 라자루스(Lazarus) 정부후원 연계 해킹 조직
ESRC에서는 이와 관련된 OSINT 기반 정보를 활용해 어떤 공격이 수행되었는지 조사하였습니다.
먼저 해당 위협은 스피어 피싱(Spear Phishing) 공격을 통해 내부 침투를 시도했습니다.
공격 대상은 이스라엘 국가가 전액 출자한 국방산업 분야의 'Israel Military Industries ltd (IMI)' 자회사인 'Ashot Ashkelon Industries Limited' 기업의 직원이었습니다.
이 곳는 국제 항공우주, 국방 및 기타 산업분야의 첨단 시스템 및 부품을 공급하는 이스라엘 군수업체입니다.
공격은 다음과 같이 이스라엘의 히브리어를 이용했고, 악성 파일이 첨부된 형태로 진행되었습니다.
[그림 2] 스피어 피싱 이메일 화면
이메일 발신은 2019년 03월 07일 진행되었고, 히브리어로 제목과 본문이 포함되어 있습니다. 이를 구글 번역기로 확인해 보면 다음과 같습니다.
여기서 언급되는 'SYSAID'는 IT전문가가 인프라와 서비스를 쉽고 효율적으로 관리(ITSM)할 수 있도록 지원해 주는 Help Desk …
안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다.
2019년 03월 26일(현지시간) 이스라엘의 하레츠 매체에 따르면, 북한 연계 해커조직 라자루스(Lazarus)가 이스라엘의 특정 회사에 대한 사이버 공격 정황이 포착되었다고 밝혔습니다.
[그림 1] 이스라엘 보도 내용 (출처: North Korean Hackers Cited in Rare Attack in Israel)
■ 이스라엘 군수업체를 공격한 라자루스(Lazarus) 정부후원 연계 해킹 조직
ESRC에서는 이와 관련된 OSINT 기반 정보를 활용해 어떤 공격이 수행되었는지 조사하였습니다.
먼저 해당 위협은 스피어 피싱(Spear Phishing) 공격을 통해 내부 침투를 시도했습니다.
공격 대상은 이스라엘 국가가 전액 출자한 국방산업 분야의 'Israel Military Industries ltd (IMI)' 자회사인 'Ashot Ashkelon Industries Limited' 기업의 직원이었습니다.
이 곳는 국제 항공우주, 국방 및 기타 산업분야의 첨단 시스템 및 부품을 공급하는 이스라엘 군수업체입니다.
공격은 다음과 같이 이스라엘의 히브리어를 이용했고, 악성 파일이 첨부된 형태로 진행되었습니다.
[그림 2] 스피어 피싱 이메일 화면
이메일 발신은 2019년 03월 07일 진행되었고, 히브리어로 제목과 본문이 포함되어 있습니다. 이를 구글 번역기로 확인해 보면 다음과 같습니다.
여기서 언급되는 'SYSAID'는 IT전문가가 인프라와 서비스를 쉽고 효율적으로 관리(ITSM)할 수 있도록 지원해 주는 Help Desk …
IoC
102d3104a010e49f92a6903adc92c449
103.225.168.159
170.239.84.243
198.96.95.58
2eb447785e5b35c42d842706d593a907d0bdbc50ad9d0327c3591ac4ef17ce6e
314e8105f28530eb0bf54891b9b3ff69
431c792fcc8ba9b58f0ffde5c8fe6fd93066ec45
47.91.56.21
96986b18a8470f4020ea78df0b3db7d4
http://103.225.168.159/admin/verify.php
http://47.91.56.21/verify.php
http://www.alahbabgroup.com/bakala/verify.php
http://www.khuyay.org/odin_backup/public/loggoff.php
103.225.168.159
170.239.84.243
198.96.95.58
2eb447785e5b35c42d842706d593a907d0bdbc50ad9d0327c3591ac4ef17ce6e
314e8105f28530eb0bf54891b9b3ff69
431c792fcc8ba9b58f0ffde5c8fe6fd93066ec45
47.91.56.21
96986b18a8470f4020ea78df0b3db7d4
http://103.225.168.159/admin/verify.php
http://47.91.56.21/verify.php
http://www.alahbabgroup.com/bakala/verify.php
http://www.khuyay.org/odin_backup/public/loggoff.php