1월 27일(현지 시각), 사이버 보안 전문 매체 블리핑컴퓨터는 북한 공산당 산하 해킹 조직 라자루스가 윈도 업데이트 클라이언트를 악용해 윈도 시스템에서 악성 코드를 활성화한다는 사실을 보도했다. 이번 공격은 글로벌 사이버 보안 기업 멀웨어 바이츠 위협 인텔리전스(Malwarebytes Threat Intelligence) 팀이 록히드 마틴을 사칭한 스피어피싱 공격을 분석하던 중 발견했다.
연구팀은 피해자가 라자루스의 악성 첨부파일을 열어 매크로를 실행한다면, 삽입된 매크로가 Windows/System32 폴더에 숨겨진 록히드마틴 폴더와 DDL 파일에 WindowsUpdateConf.lnk 파일을 유포한다고 설명했다. 이후 LNK 파일을 이용해 WSUS/윈도 업데이트 클라이언트를 실행해 라자루스의 악성 DLL을 실행하는 것으로 알려졌다.
한편, 멀웨어바이츠 관계자는 "이번 공격은 라자루스가 자체 악성 DLL을 윈도 업데이트 클라이언트에 이용하여 보안 감지 메커니즘을 우회한다는 점에서 흥미롭다"라고 전했다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
![[윤창원 칼럼] 종교 인도적 지원, 어디로 가야 하나](/news/data/2025/11/20/p1065576646891237_449_h.png)
![[구혜영 칼럼] 카르텔의 서늘한 풍경](/news/data/2025/11/03/p1065592872193525_800_h.png)
