멀웨어 업그레이드 한 북한의 라자루스...이번엔 용량마저 줄여 더 감쪽같아

요약 : 보안 외신 해커뉴스에 의하면 북한의 해킹 그룹 라자루스가 조호(Zoho)의 매니지엔진(ManageEngine)에서 발견된 초고위험도 취약점을 익스플로잇 하고 있다고 한다. 그런 후에 원격 접근용 멀웨어인 콰이트랫(QuiteRAT)을 퍼트린다는 게 조사 결과 밝혀졌다. 이를 추적한 시스코의 탈로스(Cisco Talos)에 의하면 표적은 미국과 유럽의 인프라 및 의료 관련 조직들이라고 한다. 또한 컬렉션랫(CollectionRAT)이라는 새로운 멀웨어가 활용되는 것도 이번 캠페인에서 발견됐다.


배경 : 콰이트랫은 매직랫(MagicRAT)의 후신으로 보이는 멀웨어이며, 컬렉션랫은 얼리랫(EarlyRAT)과 여러 면에서 유사한 면모를 선보이고 있다. 이번 캠페인에서 익스플로잇 되고 있는 취약점은 CVE-2022-47966이라고 하며, 라자루스는 이 취약점의 개념증명용 익스플로잇 코드가 공개되고 5일 지난 시점부터 캠페인을 시작했다고 한다.

말말말 : “매직랫은 라자루스가 일찌감치 사용해 왔던 멀웨어로 평균 용량이 18MB였습니다. 콰이트랫은 매직랫에서 발전한 것으로 보이는데 용량이 4~5MB에 불과합니다.” -탈로스-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>