북한 Lazarus 그룹과 Medusa 랜섬웨어: 4단계 공격 체인의 구조
- 이시우
- 6일 전
- 3분 분량
Broadcom의 Symantec 및 Carbon Black Threat Hunter Team은 북한 연계 Lazarus 그룹과 Medusa 랜섬웨어 공격 사이의 연관 정황을 포착했다. 주요 표적에는 미국 의료기관이 포함되어 있으며, 중동 지역에서도 관련 사례가 언급되고 있다.
이 캠페인을 주의 깊게 살펴볼 필요가 있는 이유는 랜섬웨어 자체보다 그 이전 단계에서 전개되는 활동에 있다. Symantec과 Carbon Black이 확인한 도구들은 일반적인 범죄용 툴이 아니라 Lazarus가 사용하는 커스텀 악성코드이며, 실제 공격은 암호화가 실행되기 전 여러 단계에 걸쳐 체계적으로 진행된다.
Medusa: Ransomware-as-a-Service (RaaS), 그리고 이중 갈취 모델
CISA, FBI, MS-ISAC은 Medusa를 Ransomware-as-a-Service 형태의 랜섬웨어로 분류한다. Medusa의 특징은 이중 갈취 모델이다. 피해자는 파일 암호화뿐 아니라 탈취된 데이터의 공개 위협에도 동시에 직면하게 된다.
조직이 백업 체계를 잘 갖추고 있어 암호화된 파일을 복구할 수 있다고 해도, 암호화 이전에 이미 민감한 데이터가 외부로 유출되었다면 피해는 여전히 심각할 수 있다. 이 때문에 데이터 유출 단계는 단순히 암호화 이전의 과정이 아니라, 그 자체로 중요한 피해 지점이 된다.
이번 캠페인에서 확인된 도구들
Symantec과 Carbon Black은 이번 공격에서 사용된 특정 도구들을 식별했다. 그 중 상당수는 Lazarus 그룹 활동과 강하게 연관되어 있다.
Tool | Function |
Comebacker | Lazarus 전용 커스텀 백도어 및 로더 |
Blindingcan | Lazarus 공격에서 사용된 RAT(Remote Access Trojan) |
Infohook | 시스템 및 사용자 데이터를 수집하는 인포스틸러 |
ChromeStealer | Chrome 브라우저 저장 크리덴셜 추출 |
Mimikatz | Windows 메모리(LSASS)에서 자격증명 덤프 |
RP_Proxy | 은닉 통신을 위한 프록시 및 터널링 도구 |
curl | 데이터 외부 전송에 활용된 표준 전송 도구 |
공격 주체 분석에 대해Symantec은 미국 의료기관을 대상으로 한 TTP가 Lazarus 하위 조직인 Stonefly(Andariel)와 유사하다고 설명한다. 또한 Comebacker는 과거 Pompilus(Diamond Sleet) 활동에서도 보고된 바 있다. 다만 Lazarus 계열 조직 간에는 도구가 겹치는 경우가 많기 때문에 특정 도구를 하나의 하위 조직에만 명확히 귀속시키는 것은 어렵다. 그럼에도 불구하고 전체적인 Lazarus 연관성은 보고된 증거들을 통해 충분히 뒷받침된다.
공격 전개 방식
보고된 사례들을 보면 공격은 비교적 일관된 흐름을 따른다. 랜섬웨어는 공격의 중심이 아니라 마지막 단계에서 등장한다.
1: 초기 거점 확보
Comebacker가 초기 침투 지점을 만든다. 이후 Blindingcan이 scheduled task, Windows 서비스, Run key 등을 활용해 지속적인 원격 제어 환경을 구축한다. 이 단계에서 공격자는 내부 환경에 안정적으로 자리 잡는다.
2: 자격증명 접근
ChromeStealer는 브라우저에 저장된 비밀번호를 수집한다. Mimikatz는 LSASS를 통해 Windows 메모리에서 자격증명을 추출한다. 이 정보는 내부 네트워크에서의 횡적 이동, 권한 상승, 추가 시스템 접근을 가능하게 한다.
3: 데이터 수집 및 유출
Infohook가 환경 내 데이터를 수집한다. curl은 데이터를 외부로 전송하고, RP_Proxy는 통신을 은닉한다. 이 단계에서 이중 갈취에 사용될 데이터가 확보된다. 실제 랜섬웨어가 실행되기 전부터 공격자는 협상에 사용할 자료를 이미 확보한 상태가 된다.
4: 랜섬웨어 실행
Medusa가 대규모 파일 암호화를 수행한다. 이후 피해자는 금전 요구와 함께 데이터 공개 위협을 동시에 받게 된다. 눈에 보이는 사건은 암호화 단계지만, 실제 공격의 기반은 앞선 세 단계에서 이미 구축되어 있다.
PAGO MDR의 대응 관점
PAGO MDR은 공격자가 도구나 파일 해시를 계속 바꾸지만 공격의 행동 흐름은 반복된다는 전제에서 운영된다. 따라서 개별 IoC보다 시간과 시스템을 가로지르는 행동 체인에 초점을 맞춘다.
PAGO MDR은 자체적으로 구축한 correlation rule을 통해 여러 행동 신호를 하나의 incident 흐름으로 연결한다. 목적은 암호화 단계에 도달하기 전에 공격 전개를 조기에 드러내는 것이다.
Backdoor 및 RAT 활동 신호
사용자 디렉터리, Temp, ProgramData에서 신규 바이너리 생성 및 실행 서비스, scheduled task, Run key 등록과 같은 persistence 구성 지속적인 원격 세션이나 C2 통신 패턴
Credential Access 신호
Mimikatz와 유사한 LSASS 접근 또는 덤프 시도 Chrome credential 저장소 접근 야간 시간대 관리자 계정 로그인 증가 또는 동일 계정이 여러 서버에 빠르게 인증되는 패턴
Exfiltration 신호
서버 환경에서 curl을 통한 대량 외부 전송 RP_Proxy 계열 도구와 유사한 터널링 또는 프록시 트래픽 공유 폴더에서 대량 파일 읽기 후 외부 전송 패턴
암호화 이전 신호
대규모 파일 수정 또는 확장자 변경 비정상적으로 높은 디스크 I/O 백업 및 복구 서비스 비활성화 시도
Correlation Rule의 실제 동작
신규 바이너리 실행, persistence 등록, LSASS 접근, 대량 외부 전송과 같은 신호가 일정 시간 안에서 논리적 순서로 발생하면 PAGO MDR은 이를 하나의 공격 체인으로 묶는다.
도구가 바뀌거나 파일 해시가 달라져도 공격자가 수행하는 기능적 행동은 변하지 않기 때문에, 탐지는 특정 파일이 아니라 공격 흐름 자체를 기준으로 이루어진다.
동일한 공격 체인은 여러 산업에서 반복된다
이번 캠페인은 미국 의료기관을 중심으로 보고되었지만, 공격 구조 자체는 특정 산업에 한정되지 않는다. 초기 침투, 자격증명 탈취, 데이터 유출, 암호화로 이어지는 동일한 4단계 공격 흐름은 반도체, 화학, 에너지, 금융 등 다양한 산업에서 반복적으로 관찰되고 있다. Lazarus 하위 조직은 산업보다는 접근 가치, 데이터 가치, 그리고 공격 효과를 기준으로 표적을 선택하는 경향이 있다.
방어 관점에서 중요한 것은 특정 산업이 아니라 공격의 운영 패턴이다. 크리덴셜, 지식재산, 운영 시스템 등 가치 있는 자산이 존재하는 환경이라면 동일한 공격 체인이 전개될 수 있다. 랜섬웨어 자체나 단일 IoC만을 기준으로 대응하는 조직은 종종 공격을 너무 늦게 발견한다.
효과적인 탐지는 더 이른 단계에서 시작된다. 초기 거점 활동, 자격증명 접근, 데이터 이동, 그리고 암호화 준비 단계의 흐름을 추적할 수 있다면 실제 피해가 발생하기 전에 공격을 차단할 수 있다. 결국 중요한 것은 랜섬웨어 이름이 아니라 그 이전에 반복적으로 나타나는 행동 패턴이다. 공격 도구는 바뀌고 표적도 달라지지만, 이 공격 흐름은 계속 반복된다. 이 흐름을 기준으로 탐지 전략을 구축하는 것이 어떤 산업 환경에서도 유효하다.
Sources
Broadcom / Symantec Threat Hunter Team
BleepingComputer
The Record (Recorded Future News)
The Hacker News
CISA / FBI / MS-ISAC Joint Advisory
BankInfoSecurity
작성자: 이시우 Threat Analyst | DeepACT MDR Center
