北 라자루스, ‘매두사’ 랜섬웨어 도입해 미국·중동 동시 타격 작성일 02-26 37 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="QvxqgA5Tr4"> <p contents-hash="6bc4666bc9bc0b41b41413aae207817ba5cad3ec5ae1769a8341b6e5b4657ffc" dmcf-pid="xTMBac1yrf" dmcf-ptype="general"><strong>2025년 11월 이후 美 의료·비영리 기관 타깃으로 평균 26만 달러 몸값 요구<br>랜섬웨어 개발 대신 기성 RaaS 플랫폼 활용하는 ‘실용주의’ 전술 선회</strong></p> <p contents-hash="30d947b7c52971e8553a9a99476b017b95bceee10aa52eda8b6b0cf6c0fafe85" dmcf-pid="yQWw3uLxEV" dmcf-ptype="general">[보안뉴스 김형근 기자] 북한 연계 해커 조직인 라자루스(Lazarus)가 서비스형 랜섬웨어(RaaS) ‘메두사’(Medusa)를 활용해 미국 의료 기관과 중동 기업을 공격한 정황이 확인됐다.</p> <figure class="figure_frm origin_fig" contents-hash="587560aa27e1d9e53d1b60ef56e2547be74879e5bfb0fcbefc44f089b26adb95" dmcf-pid="WxYr07oMw2" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202602/26/552815-KkymUii/20260226150620289woqm.jpg" data-org-width="750" dmcf-mid="BSK1xdSrri" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202602/26/552815-KkymUii/20260226150620289woqm.jpg" width="658"></p> </figure> <div contents-hash="3ed20ccfb38b5ab857b3decfa6558058b0d0c4c222f9f379a6e0372b721198a7" dmcf-pid="YMGmpzgRI9" dmcf-ptype="general"> <div> <p>[출처: gettyimagesbank]</p> </div> <br>글로벌 보안 기업 시만텍(Symantec)과 카본블랙(Carbon Black)의 공동 조사에 따르면, 라자루스는 최근 중동의 한 기업을 상대로 메두사 랜섬웨어를 유포했으며, 미국 의료 기관 한 곳도 침투를 시도한 것으로 나타났다. 메두사는 2023년 스피어윙(Spearwing) 조직이 운영을 시작한 RaaS 플랫폼으로, 현재까지 366개 이상의 기관을 공격한 이력이 있다. </div> <p contents-hash="267d908405d8f65918c038564ce87703a363b676d6b4be3e295f772bf0c289f9" dmcf-pid="GRHsUqaemK" dmcf-ptype="general">메두사 유출 사이트(Leak Site) 분석 결과, 2025년 11월부터 미국 내 의료 및 비영리 단체 4곳이 공격 대상이 된 것으로 나타났고, 이들에게 요구한 평균 몸값은 26만달러(약 3억5000만원) 수준인 것으로 파악됐다.</p> <p contents-hash="4fe3a2adb5e8d6901e170d70cc9f22a6b1fdbabad551d07933869f045d766e08" dmcf-pid="Hr9tMJvmDb" dmcf-ptype="general">이번 공격은 라자루스의 전술적 변화를 보여준다. 과거 안다리엘(Andariel)과 같은 산하 조직이 마우이(Maui)나 홀리고스트(H0lyGh0st) 등 자체 개발한 랜섬웨어를 주로 사용했던 것과 달리, 기성 RaaS 플랫폼을 채택하는, 이른바 ‘실용주의’(Pragmatism) 노선으로 선회한 것이다.</p> <p contents-hash="bd74736b82736036030a0824a5cb8022dee027755e724aab88d327daa30d43db" dmcf-pid="Xm2FRiTswB" dmcf-ptype="general">공격 인프라에서는 기성 랜섬웨어와 함께 라자루스 전용 도구들이 다수 발견되며 공격 배후가 특정됐다. 권한 탈취를 위한 미미카츠(Mimikatz)를 비롯해 라자루스 전용 커스텀 백도어인 커백커(Comebacker), 원격 제어 트로이목마(RAT)인 블라인딩캔(BLINDINGCAN)이 핵심 도구로 활용됐다. 또, 정보 탈취 도구인 인포훅(InfoHook)과 브라우저에 저장된 비밀번호를 탈취하는 크롬스틸러(ChromeStealer)를 동원해 피해 시스템의 권한을 장악했다.</p> <p contents-hash="c9bc92583fb0d19d3dc8e325472ef12fa318ced768f650fa7aff146ca2bff44d" dmcf-pid="ZsV3enyOOq" dmcf-ptype="general">이번 공격은 특정 라자루스 하위 그룹과 관련이 없는 것으로 보이지만, 공격 방식 자체는 안다리엘 공격과 유사성을 보인다. 일반적으로 해커 조직즐은 평판 관리를 위해 의료 기관이나 비영리 단체 공격을 자제하는데, 라자루스는 도덕적 제약 없이 침해 활동을 지속하고 있다.</p> <p contents-hash="62db8319233963b487fc725639971dce13df7ae64087f163ffd1cf3acc183ab0" dmcf-pid="5Of0dLWIrz" dmcf-ptype="general">보안업계는 북한의 사이버범죄가 국제적 제재 속에서 더욱 탐욕스럽게 진화하고 있다고 지적하면서 글로벌 차원의 공조가 절실하다고 전했다.</p> </section> </div> <p class="" data-translation="true">Copyright © 보안뉴스. 무단전재 및 재배포 금지.</p> 관련자료 이전 고흥 민간발사장에 고체발사 지원시설 구축 02-26 다음 진종오 발의 '생활체육지도자 경력별 임금표' 법안, 문체위 상임위 통과 02-26 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
