TTPs #10 : Operation GoldGoblin - 제로데이 취약점을 이용, 선별적으로 침투하는 공격전략 분석
Contents
# Introduction
## Abstract
Lazarus 그룹은 대한민국을 타겟으로 활동하는 가장 위협적인 사이버위협 그룹 중 하나이다. 해당 공격그룹은 국내 대다수의 기업과 사용자들이 사용하고 있는 보안 소프트웨어 및 언론 사이트를 최초 침투에 악용했다.
공격자는 주로 언론사의 기사페이지에 악성 스크립트를 삽입해 워터링홀 페이지로 악용했으며, 해당 페이지에 접속시 보안 소프트웨어 취약점을 통해 악성코드를 설치하는 전략을 사용했다.
이 과정에서 공격자는 보안 솔루션 개발업체의 소스코드를 탈취하여 취약점 코드를 개발한 것으로 드러났다. 공격자는 워터링홀 공격을 위해서 언론사 사이트를 이용하고, 명령제어지 구축을 위해 호스팅 업체를 악용하는 등 국내 인프라를 이용한 공격 범위 확장을 지속하고 있었다.
우리는 이번 사고에서 확인된 주요 특징을 바탕으로 **“Operation GoldGoblin”** 이라고 명명한다. 고블린이란 주로 탐욕이 많고 비열한 존재를 의미한다. 이 명칭은 사고 조사 과정에서 Lazarus 그룹이 보여주었던 행위를 반영하여 명명하였다. 개발사 침투를 통한 소스코드 탈취, 언론사 해킹을 통한 워터링홀 공격, 그룹웨어 및 호스팅 서비스 해킹을 통한 명령제어지 악용 등 사이버 공격을 통해 소스코드와 자원을 탈취하고 악용하는 모습은 탐욕스러운 고블린을 떠올리게 한다.
이번 사고 조사에는 한국인터넷진흥원, 경찰청 안보수사국, 사이버안보센터, 안랩, 카스퍼스키 …
## Abstract
Lazarus 그룹은 대한민국을 타겟으로 활동하는 가장 위협적인 사이버위협 그룹 중 하나이다. 해당 공격그룹은 국내 대다수의 기업과 사용자들이 사용하고 있는 보안 소프트웨어 및 언론 사이트를 최초 침투에 악용했다.
공격자는 주로 언론사의 기사페이지에 악성 스크립트를 삽입해 워터링홀 페이지로 악용했으며, 해당 페이지에 접속시 보안 소프트웨어 취약점을 통해 악성코드를 설치하는 전략을 사용했다.
이 과정에서 공격자는 보안 솔루션 개발업체의 소스코드를 탈취하여 취약점 코드를 개발한 것으로 드러났다. 공격자는 워터링홀 공격을 위해서 언론사 사이트를 이용하고, 명령제어지 구축을 위해 호스팅 업체를 악용하는 등 국내 인프라를 이용한 공격 범위 확장을 지속하고 있었다.
우리는 이번 사고에서 확인된 주요 특징을 바탕으로 **“Operation GoldGoblin”** 이라고 명명한다. 고블린이란 주로 탐욕이 많고 비열한 존재를 의미한다. 이 명칭은 사고 조사 과정에서 Lazarus 그룹이 보여주었던 행위를 반영하여 명명하였다. 개발사 침투를 통한 소스코드 탈취, 언론사 해킹을 통한 워터링홀 공격, 그룹웨어 및 호스팅 서비스 해킹을 통한 명령제어지 악용 등 사이버 공격을 통해 소스코드와 자원을 탈취하고 악용하는 모습은 탐욕스러운 고블린을 떠올리게 한다.
이번 사고 조사에는 한국인터넷진흥원, 경찰청 안보수사국, 사이버안보센터, 안랩, 카스퍼스키 …