카테고리 없음

Lazarus APT Group Tracking : Operation Dream Job

da1seun9 2025. 4. 27. 23:45

1. Campaign 개요

Operation Dream job은 북한의 라자루스 그룹이 수행한 주요 사이버 공격 캠페인이다. 이 작전은 미국, 이스라엘, 호주, 러시아, 인도 등 5개국의 국방, 항공분야부터 정부기관을 주요 타겟으로 삼았다.

2020년에 보안연구원들은 위장용 구인공고와 악성파일을 식별하면서Operation Dream job과 Operation North Star 캠페인 간의 TTPs 연관성을 확인했다.

2022년 보안연구원들은 Operation Dream job을 Operation interception과 Operation North star를 모두 포괄하는 용어로 설명했다.

2. Lazarus's TTPs

  1. 페르소나 구축
    • LinkedIn, Facebook, Indeed와 같은 소셜미디어 플랫폼에서 가짜 채용담당자 페르소나를 구축한다.
    • 신뢰를 얻기 위해 실제 기업 로고와 채용공고를 모방한다.
  2. 사회적 공학기법 수행
    • 희생자와 이메일, LinkedIn 메시지, 전화통화, WhatsApp을 통한 접촉한다.
    • 신뢰를 얻은 후 면접용 과제나 입사지원 서류를 가장한 악성파일을 전송한다.
  3. 스피어 피싱
    • 이메일, 메시지를 사용하여 희생자를 속이고, 악성파일을 실행하도록 유도한다.
    • 이 파일에는 트로이목마, 백도어, C2서버 연결 기능이 포함된다.
  4. 파일 기반 공격
    • 악성 Microsoft Word 문서, PDF 파일을 활용한다.
    • CVE-2017-0199와 같은 문서 기반 취약점을 이용한 매크로 실행을 유도한다.
  5. C2 통신 및 추가 악성 행위
    • 감염된 시스템과 C2서버 간 암호화 통신을 유지
    • 추가적인 백도어 설치, 데이터 탈취, 횡적 이동(Lateral Movement)를 수행한다.

3. 전략분석 : 왜 이 공격이 효과적일까?

  • 심리적 약점 공략 : 구직자는 일반적으로 기회를 찾는 과정에서 경계심이 낮아져 있으며, 좋은 직장 제안에는 특히 쉽게 반응한다.

  • 신뢰 기반 접근 : 실제 기업 정보를 모방함으로써, 희생자가 의심 없이 문서를 열고 악성 파일을 실행하도록 유도할 수 있다.

  • 맞춤형 타겟팅 : 랜덤 공격이 아닌, 특정 인물이나 조직을 철저히 조사하고 맞춤형으로 접근함으로써 성공률이 높아진다.

  • 복합 채널 사용 : 단일 이메일이 아니라 소셜 미디어, 전화, 메신저 앱까지 다양한 경로를 활용해 공격 성공 가능성을 높인다.

4. 조직에서 탐지 및 방어

  • 소셜 미디어 모니터링 : 채용 담당자를 사칭하는 비정상 계정 및 활동을 탐지하고 신고한다.
  • 의심스러운 채용 과정에 대한 교육 : 채용과정에서 파일 다운로드가 있을 경우 반드시 검증절차를 거친다.
  • E-Mail 보안 강화 : 비즈니스 이메일 침해 공격(BEC, Business Email Compromise)를 비롯한 스피어 피싱공격 등 악성파일을 피해자의 메일로 전송해 다운로드를 받을 수 없게끔 이메일 보안 솔루션을 구축한다.
    • 이메일 보안 솔루션에는 첫번째, 이메일 발신자를 확인해 제대로 된 사용자가 맞는지 검증하고 두번째, 첨부된 파일이 있으면 검사를 하거나 파일을 다운로드를 못하도록 한다.
  • EDR구축 : 엔드포인트 탐지대응솔루션(EDR, EndPoint Detection and Response)을 구축하여 엔드포인트에서 동작되는 모든 프로세스 기반 행위들을 실시간으로 모니터링하고 분석 및 대응을 하여 피해확산을 막는다.
  • 네트워크 트래픽 모니터링 : C2서버와 비정상 통신을 탐지하기 위해 사내에 네트워크 모니터링 툴을 사용한다.

5. IOC

아래 Reference 참고.

6. 결론

Operation Dream Job은 심리적 약점을 이용한 고도의 사회공학적 사이버 공격 캠페인으로, 라자루스 그룹이 사람의 심리를 이용해 얼마나 체계적이고 정교하게 목표를 공략하는지를 보여준다.
조직과 개인 모두 다층 방어 전략사내 보안 인식 교육을 강화하여 이러한 고도화된 위협에 대비해야 한다.

Reference

  1. MITRE ATT&CK : https://attack.mitre.org/campaigns/C0022/
  2. Clearskysec : https://www.clearskysec.com/wp-content/uploads/2020/08/Dream-Job-Campaign.pdf
  3. Eset operation interception : https://web-assets.esetstatic.com/wls/2020/06/ESET_Operation_Interception.pdf