요약 : 보안 외신 해커뉴스에 의하면 북한의 해킹 조직 라자루스가 새로운 RAT 멀웨어를 유포하고 있다고 한다. 이 새 멀웨어의 이름은 카올린(Kaolin)이라고 한다. RAT로 분류되는 모든 멀웨어들이 기본적으로 가지고 있는 기능들에 더해 특정 파일의 마지막 쓰기 기록 타임스탬프를 변경하고, C&C 서버로부터 전달된 바이너리를 로딩한다는 기능을 추가로 탑재하고 있다고 보안 업체 어베스트(Avast)가 설명했다. 라자루스는 카올린을 통해 퍼드모듈(FudModule)이라는 루트킷을 유포하고, 퍼드모듈은 CVE-2024-21338이라는 취약점을 통해 커널 읽기/쓰기 권한을 가져간다.


배경 : 카올린 자체는 가짜 입사 제안서가 동봉된 피싱 메일을 통해 유포된다. 스카웃 제의나 입사 제안서를 통해 피해자들을 속이는 건 라자루스의 오래된 수법이다. 수년 째 사용해 오고 있는데도 변하지 않는 것을 보면, 아직 속아넘어가는 사람들이 많다는 걸 알 수 있다. 피싱 공격은 사용자 교육이 병행되지 않으면 막을 수가 없다.

말말말 : “라자루스는 새로운 공격 도구나 기법을 마련하기 위해 어마어마한 자원을 사용하는 것으로 보입니다. 북한 정권이 이들의 뒤에서 지원을 아끼지 않는다는 것이죠.” -해커뉴스-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>