Lazarus 그룹의 윈도우 웹 서버 대상 공격 사례 분석
Contents
Lazarus 그룹의 윈도우 웹 서버 대상 공격 사례 분석
AhnLab SEcurity intelligence Center(ASEC)은 정상 서버를 침해해 C2로 악용하는 Lazarus 그룹의 공격 사례들을 확인하였다. 국내 웹 서버를 대상으로 웹쉘 및 C2 스크립트를 설치하는 공격 사례들은 지속적으로 발생하고 있으며 나아가 LazarLoader 악성코드와 권한 상승 도구가 확인되는 사례들도 존재한다.
1. C2 스크립트 (Proxy)
2024년 5월 Lazarus 그룹이 국내 웹 서버를 공격해 첫 번째 단계의 C2 서버로 활용한 사례가 확인되었다. 첫 번째 단계의 C2 서버는 다음 단계의 C2 서버에 대한 프록시로 동작하면서 악성코드와 두 번째 단계의 C2 서버와의 통신을 중개하는 역할을 담당한다. 참고로 공격 대상 웹 서버는 IIS 서버였기 때문에 ASP 포맷의 웹쉘 및 C2 스크립트가 사용되었으며 이는 2020년 12월 Kaspersky사에서 공개한 유형과 동일하였다. [1]
Figure 1. Kaspersky사에서 공개한 C2 스크립트와 동일한 유형
2025년 1월 확인된 공격 사례 또한 과거 사례와 유사하게 Lazarus 그룹이 첫 번째 단계의 C2 서버로 악용하기 위한 인프라로 사용한 것으로 추정된다. 즉 첫 번째 단계의 C2 스크립트가 확인되었는데 과거 사례와 동일하지는 않지만 프록시로 동작한다는 실질적인 …
AhnLab SEcurity intelligence Center(ASEC)은 정상 서버를 침해해 C2로 악용하는 Lazarus 그룹의 공격 사례들을 확인하였다. 국내 웹 서버를 대상으로 웹쉘 및 C2 스크립트를 설치하는 공격 사례들은 지속적으로 발생하고 있으며 나아가 LazarLoader 악성코드와 권한 상승 도구가 확인되는 사례들도 존재한다.
1. C2 스크립트 (Proxy)
2024년 5월 Lazarus 그룹이 국내 웹 서버를 공격해 첫 번째 단계의 C2 서버로 활용한 사례가 확인되었다. 첫 번째 단계의 C2 서버는 다음 단계의 C2 서버에 대한 프록시로 동작하면서 악성코드와 두 번째 단계의 C2 서버와의 통신을 중개하는 역할을 담당한다. 참고로 공격 대상 웹 서버는 IIS 서버였기 때문에 ASP 포맷의 웹쉘 및 C2 스크립트가 사용되었으며 이는 2020년 12월 Kaspersky사에서 공개한 유형과 동일하였다. [1]
Figure 1. Kaspersky사에서 공개한 C2 스크립트와 동일한 유형
2025년 1월 확인된 공격 사례 또한 과거 사례와 유사하게 Lazarus 그룹이 첫 번째 단계의 C2 서버로 악용하기 위한 인프라로 사용한 것으로 추정된다. 즉 첫 번째 단계의 C2 스크립트가 확인되었는데 과거 사례와 동일하지는 않지만 프록시로 동작한다는 실질적인 …