2018년 4월 Lazarus Group의 최신 APT 공격으로 알려진
‘작전명 스타 크루저(Operation Battle Cruiser)’가 6개월 만에 다시 등장했다.
Lazarus는 북한 정찰총국의 해커 부대로 소니 픽처스 공격의 주범이다.
최근 국내 특정 대상을 목표로 APT 공격을 수행 중이며,
악성코드가 들어있는 ‘한글’(HWP) 파일을
정상적인 ‘한글’(HWP) 파일로 위장해 이메일에 첨부, 발송한다.

Lazarus Group은 지난 3월 파일명 ‘battle32.avi’와 ‘battle64.avi’로 APT 공격을 수행하였고,
4월엔 변경된 파일명인 ‘star3.avi’와 ‘star6.avi’로 APT 공격을 수행하였다.
이번 10월 발견된 최신 APT 공격은 ‘akism1.pgi’와 ‘akism2.pig’등으로
파일명과 확장자가 변경되었지만,
내부에 존재하는 익스포트 된 함수명이 지난 3월과 동일한 ‘battle32.dll’과 ‘battle64.dll’이 사용되었다

해당 포스트 스크립트(Post Script) 내부에 악성 쉘 코드가 포함되어 있다.
해당 파일이 실행되면 악성 포스트 스크립트(Post Script)가 실행되며,
배포 사이트로 접속 후 OS 버전에 따라 악성 파일 다운로드를 시도한다.
이후 HWP 문서 내용이 출력되며, 정상적인 문서 파일로 위장한다.

분석 결과

결론
북한 정찰총국의 해커부대로 알려진 Lazarus 그룹은
지난 3월과 4월에 이어 10월, 다시 한번 국내 특정 대상을 목표로
지속적인 APT 공격을 시도하고 있다.
이번 10월 발생한 APT 공격의 배후가 Lazarus 그룹임은 다양한 단서로 확인할 수 있으며,
특징은 다수에게 변호사를 사칭하는 메일을 발송하여
정상적인 HWP 문서 파일로 위장하는 사회공학적 기법의 공격을 통해 악성 파일을 유포하고,
C2 서버와의 통신을 유지하는 것이다. 해당 그룹은 현재까지도 활동이 지속적으로 발견되어
각별한 주의가 필요하며, 한컴오피스의 한글 프로그램을 최신 버전으로 업데이트 하여야 한다.

5. 대 응
1. MS 제공하는 보안 업데이트를 자동으로 설정한다.
2. 사용중인 소프트웨어 최신 업데이트 유지한다.
3. 백신 최신 업데이트 유지한다.
4. 주요 문서는 주기적으로 백업하고 물리적으로 분리하여 관리한다.
5. 신뢰할 수 없는 메일의 첨부파일은 실행을 금지한다.
6. 비 업무 사이트 및 신뢰할 수 없는 웹사이트의 연결을 차단한다.