카스퍼스키 글로벌 연구 분석팀(GReAT)은 최근 북한과 연계된 해킹 조직인 라자루스(Lazarus)가 새로운 모듈식 백도어 ‘CookiePlus’를 활용해 핵 관련 조직의 직원들을 대상으로 한 사이버 공격을 감행했다고 밝혔다.

이번 공격은 ‘Operation DreamJob’ 또는 ‘DeathNote’로 알려진 라자루스의 지속적인 캠페인의 일환으로, 2019년부터 시작돼 암호화폐 관련 기업을 주로 표적으로 삼았다. 2024년에는 유럽, 라틴아메리카, 한국, 아프리카의 IT 및 방위 산업 기업들로 대상이 확대됐다. 특히 최근에는 브라질의 핵 관련 조직과 베트남의 특정 산업 분야 직원들이 표적이 됐다.

공격자들은 유명 항공우주 및 방위 기업의 IT 직책을 위한 기술 평가로 위장한 손상된 압축 파일을 통해 악성 코드를 배포했다. 이러한 파일은 주로 LinkedIn과 같은 구직 플랫폼을 통해 전달된 것으로 추정된다. 감염 체인은 다운로더, 로더, 백도어 등 다양한 악성 소프트웨어를 포함한 복잡한 구조로 이루어져 있으며, 변조된 VNC 소프트웨어와 다른 합법적인 VNC 도구를 활용해 다단계 공격을 수행했다.

특히 새롭게 발견된 ‘CookiePlus’ 백도어는 오픈 소스 Notepad++ 플러그인인 ComparePlus로 위장돼 있었다. 이 백도어는 시스템 정보를 수집하고, 메인 모듈의 실행 일정을 조정하며, 특정 시간 동안 대기 상태를 유지하는 등 다양한 기능을 수행한다.

이효은 카스퍼스키 한국 지사장은 “라자루스 그룹은 오랫동안 글로벌 사이버 보안에 큰 위협을 주는 존재로 인식돼 왔다. 이번 Operation DreamJob의 진화는 그들의 끈질긴 작전과 핵, 방위, IT 등 중요한 산업을 겨냥한 전략적인 접근 방식을 잘 보여준다. 조직들은 위협 정보를 활용하고 고급 사이버 보안 솔루션을 통해 이들의 전술을 앞서 나가야 한다. 이번 발견은 정교한 위협에 대응하기 위한 글로벌 협력의 중요성을 다시 한번 확인시켜 준다”고 밝혔다.

또한 카스퍼스키 글로벌 연구 분석팀의 류소준 책임은 “Operation DreamJob은 민감한 시스템 정보를 수집해 개인정보 도용이나 스파이 활동에 악용될 수 있기 때문에 큰 위험을 동반한다. 이 악성 코드는 행동을 지연시켜 침투 직후 탐지를 피하고 시스템에 오랜 시간 동안 남을 수 있게 한다. 특정 실행 시간을 설정함으로써 주기적으로 작동해 눈에 띄지 않게 하며, 시스템 프로세스를 조작해 탐지를 더욱 어렵게 만들고 추가적인 피해나 악용을 초래할 수 있다”고 경고했다.

1997년 설립된 글로벌 사이버 보안 및 디지털 개인정보보안 전문 회사 카스퍼스키는 10억 개 이상의 기기를 최신 사이버 위협과 표적형 공격으로부터 보호하며, 심층적인 위협 인텔리전스와 보안 전문 지식을 바탕으로 전 세계 각지의 기업, 기간 산업 인프라, 정부 및 개인 소비자에게 혁신적인 솔루션과 서비스를 제공하고 있다. 세계 최고 수준의 엔드포인트 보호 솔루션, 특수 보안 제품 및 서비스, 사이버 면역 솔루션 등을 포함한 광범위한 보안 포트폴리오를 통해 카스퍼스키는 갈수록 정교해지는 디지털 위협에 맞서 싸우고 있다. 22만이 넘는 기업 고객이 카스퍼스키를 통해 중요 자산을 보호하고 있다.

★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★