글로벌 보안 기업 카스퍼스키의 글로벌 연구 분석팀(GReAT)이 북한 연계 해킹 조직 라자루스(Lazarus)가 새로운 모듈식 백도어 ‘쿠키플러스(CookiePlus)’를 활용해 핵 관련 조직의 직원들을 대상으로 한 사이버 공격을 감행했다고 밝혔다.

이번 공격은 ‘Operation DreamJob’ 또는 ‘DeathNote’로 알려진 라자루스의 지속적인 캠페인의 일환으로, 2019년부터 시작돼 암호화폐 관련 기업을 주로 표적으로 삼았다. 2024년에는 유럽, 라틴아메리카, 한국, 아프리카의 IT 및 방위 산업 기업들로 대상이 확대됐다. 특히 최근에는 브라질의 핵 관련 조직과 베트남의 특정 산업 분야 직원들이 표적이 됐다.

공격자들은 유명 항공우주 및 방위 기업의 IT 직책을 위한 기술 평가로 위장한 손상된 압축 파일을 통해 악성 코드를 배포했다. 이러한 파일은 주로 링크드인과 같은 구직 플랫폼을 통해 전달된 것으로 추정된다.

감염 체인은 다운로더, 로더, 백도어 등 다양한 악성 소프트웨어를 포함한 복잡한 구조로 이루어져 있으며, 변조된 VNC(Virtual Network Computing, 원격 제어 SW)와 다른 합법적인 VNC 도구를 활용해 다단계 공격을 수행했다.

특히 새롭게 발견된 ‘CookiePlus’ 백도어는 오픈 소스 Notepad++ 플러그인인 ‘ComparePlus’로 위장돼 있었다. 이 백도어는 시스템 정보를 수집하고, 메인 모듈의 실행 일정을 조정하며, 특정 시간 동안 대기 상태를 유지하는 등 다양한 기능을 수행한다.

카스퍼스키 이효은 한국 지사장은 “이번 Operation DreamJob의 진화는 그들의 끈질긴 작전과 핵, 방위, IT 등 중요한 산업을 겨냥한 전략적인 접근 방식을 잘 보여준다.”라며 “조직들은 위협 정보를 활용하고 고급 사이버 보안 솔루션을 통해 이들의 전술을 앞서 나가야 한다.”라고 밝혔다.

카스퍼스키 류소준 글로벌 연구 분석팀 책임은 “Operation DreamJob은 행동을 지연시켜 침투 직후 탐지를 피하고 시스템에 오랜 시간 동안 남을 수 있게 한다.”라며 “특정 실행 시간을 설정함으로써 주기적으로 작동해 눈에 띄지 않게 하며, 시스템 프로세스를 조작해 탐지를 더욱 어렵게 만들고 추가적인 피해나 악용을 초래할 수 있다.”라고 전했다.