카스퍼스키, 라자루스 그룹의 새로운 악성코드 ‘CookiePlus’ 발견

카스퍼스키의 글로벌 연구 분석팀(GReAT)은 최근 북한과 연계된 해킹 조직인 라자루스(Lazarus)가 새로운 모듈식 백도어 ‘CookiePlus’를 활용해 핵 관련 조직의 직원들을 대상으로 한 사이버 공격을 감행했다고 밝혔다.

이번 공격은 ‘Operation DreamJob’ 또는 ‘DeathNote’로 알려진 라자루스의 지속적인 캠페인의 일환으로, 2019년부터 시작돼 암호화폐 관련 기업을 주로 표적으로 삼았다. 2024년에는 유럽, 라틴아메리카, 한국, 아프리카의 IT 및 방위 산업 기업들로 대상이 확대됐다. 특히 최근에는 브라질의 핵 관련 조직과 베트남의 특정 산업 분야 직원들이 표적이 됐다.

공격자들은 유명 항공우주 및 방위 기업의 IT 직책을 위한 기술 평가로 위장한 손상된 압축 파일을 통해 악성 코드를 배포했다. 이러한 파일은 주로 LinkedIn과 같은 구직 플랫폼을 통해 전달된 것으로 추정된다. 감염 체인은 다운로더, 로더, 백도어 등 다양한 악성 소프트웨어를 포함한 복잡한 구조로 이루어져 있으며, 변조된 VNC 소프트웨어와 다른 합법적인 VNC 도구를 활용해 다단계 공격을 수행했다.

특히 새롭게 발견된 ‘CookiePlus’ 백도어는 오픈 소스 Notepad++ 플러그인인 ComparePlus로 위장돼 있었다. 이 백도어는 시스템 정보를 수집하고, 메인 모듈의 실행 일정을 조정하며, 특정 시간 동안 대기 상태를 유지하는 등 다양한 기능을 수행한다.

이효은 카스퍼스키 한국 지사장은 “라자루스 그룹은 오랫동안 글로벌 사이버 보안에 큰 위협을 주는 존재로 인식돼 왔다. 이번 Operation DreamJob의 진화는 그들의 끈질긴 작전과 핵, 방위, IT 등 중요한 산업을 겨냥한 전략적인 접근 방식을 잘 보여준다. 조직들은 위협 정보를 활용하고 고급 사이버 보안 솔루션을 통해 이들의 전술을 앞서 나가야 한다. 이번 발견은 정교한 위협에 대응하기 위한 글로벌 협력의 중요성을 다시 한번 확인시켜 준다”고 밝혔다.

또한 카스퍼스키 글로벌 연구 분석팀의 류소준 책임은 “Operation DreamJob은 민감한 시스템 정보를 수집해 개인정보 도용이나 스파이 활동에 악용될 수 있기 때문에 큰 위험을 동반한다. 이 악성 코드는 행동을 지연시켜 침투 직후 탐지를 피하고 시스템에 오랜 시간 동안 남을 수 있게 한다. 특정 실행 시간을 설정함으로써 주기적으로 작동해 눈에 띄지 않게 하며, 시스템 프로세스를 조작해 탐지를 더욱 어렵게 만들고 추가적인 피해나 악용을 초래할 수 있다”고 경고했다.

이번 라자루스의 새로운 캠페인에 대한 자세한 내용은 https://Securelist.com에서 확인할 수 있다.