북한 라자루스 그룹, 메두사 랜섬웨어 공격과 연관

Source: Bleeping Computer

북한 정부 지원 해커 그룹인 라자루스 위협 그룹이 메두사 랜섬웨어를 이용해 미국 의료 기관을 대상으로 갈취 공격을 진행하고 있습니다.

메두사 랜섬웨어‑as‑a‑service (RaaS) 운영은 2021년 1월에 등장했으며, 2025년 2월까지 다양한 핵심 인프라 부문에서 300개 이상의 조직에 영향을 미쳤습니다(https://www.bleepingcomputer.com/news/security/cisa-medusa-ransomware-hit-over-300-critical-infrastructure-orgs/). 그 이후로 이 조직은 최소 80명의 추가 피해자를 주장했습니다.

북한 위협 행위자는 이전에 HolyGhost, PLAY, Maui, Qilin 등 다른 랜섬웨어 변종 및 기타 악성코드 패밀리와 연결된 바 있습니다. 이번이 보안 연구원들이 이 행위자를 메두사와 처음으로 연관시킨 사례입니다.

Attribution and Motivation

오늘 발표된 보고서에서 기업 사이버보안 업체인 시만텍은 라자루스 하위 그룹(아마도 Andariel/Stonefly)이 현재 메두사를 사용해 재정적 동기가 있는 사이버 공격을 미국 의료 제공자를 대상으로 진행하고 있다고 밝혔습니다. 이러한 공격에 사용된 도구 세트는 미디어, 방위, IT 산업을 주로 겨냥하는 또 다른 북한 그룹인 Diamond Sleet와도 일부 연관성을 보입니다.

연구진은 북한 해커들이 재정적 이익을 위해 사이버 범죄에 계속 관여하고 있으며, 특정 부문이 제외되는 경우는 없다고 지적했습니다.

“일부 사이버 범죄 조직은 평판 손상을 우려해 의료 기관을 표적으로 삼지 않겠다고 주장하지만, 라자루스는 전혀 제한을 받지 않는 것으로 보인다.” — 시만텍 연구원

Tools Observed in Medusa Attacks

메두사 랜섬웨어 공격에서 관찰된 유틸리티 중 일부는 일반적인 도구입니다:

• Comebacker – Diamond Sleet와 연결된 백도어/로더 (Diamond Sleet가 사용한 것으로 확인)
• Blindingcan – 원격 접근 트로이목마
• ChromeStealer – Chrome 자격 증명 추출기
• Infohook – 정보 탈취 도구
• Mimikatz – 자격 증명 덤핑 도구
• RP_Proxy – 맞춤형 프록시 도구
• Curl – 데이터 전송 도구

Impact on Healthcare and Other Sectors

메두사는 미국 내 여러 의료 및 비영리 조직을 표적으로 삼았습니다. 이 조직의 데이터 유출 사이트에는 2025년 11월 초부터 네 건의 피해자가 등재되어 있으며, 그 중에는 자폐 아동을 위한 교육 시설도 포함됩니다.

모든 메두사 공격이 라자루스 해커에게 확실히 귀속되는 것은 아닙니다. 메두사는 1,500만 달러까지 요구할 수 있지만, 시만텍 연구원에 따르면 평균 몸값은 26만 달러 수준입니다. 탈취된 자금은 미국, 대만, 한국의 방위, 기술, 정부 부문을 대상으로 한 스파이 활동을 지원하는 데 사용됩니다.

Indicators of Compromise

시만텍은 보고서에서 네트워크 인프라 데이터와 공격에 사용된 악성코드 해시를 포함한 일련의 침해 지표(IoC)를 제공했습니다.