역사상 가장 큰 Web3 강도 사건을 일으킨 라자루스 그룹의 배후에 있는 이야기

다음 내용은 Wikipedia 항목 "Lazarus Group"에서 번역되었습니다.

라자루스 그룹(일명 "가디언즈" 또는 "피스 또는 후이즈 팀")은 북한 정부의 통제를 받고 있다고 알려진, 알려지지 않은 수의 개인으로 구성된 해커 그룹입니다. 이 그룹에 대해 알려진 바는 거의 없지만, 연구자들은 2010년 이후 여러 차례의 사이버 공격을 이 그룹에 기인한 것으로 추정하고 있습니다.

원래는 범죄 집단이었던 이 단체는 현재 공격 의도, 위협 요소, 운영에 사용하는 다양한 방법 등으로 인해 고급 지속 위협 집단으로 지정되었습니다. 사이버 보안 기관에서는 이들에게 "Hidden Cobra"(미국 국토안보부에서 북한 정부가 시작한 악의적인 사이버 활동을 지칭하는 데 사용하는 이름)와 "ZINC" 또는 "Diamond Sleet"(Microsoft 용어)과 같은 별명을 붙였습니다. 탈북자 김국송에 따르면, 이 단체는 북한 내부에서는 "414 연락사무소"로 알려져 있다.

라자루스 그룹은 북한과 긴밀한 관계를 맺고 있다. 미국 법무부는 이 단체가 "세계 사이버 보안을 훼손하고 제재를 위반하여 불법 수익을 창출하려는" 북한 정부의 전략의 일부라고 주장합니다. 북한은 사이버 작전을 수행함으로써 많은 이점을 얻을 수 있으며, "전 세계적인" 비대칭 위협(특히 남한에 대한 위협)을 가하기 위해 아주 작은 규모의 팀만 유지하면 됩니다.

개발 역사

이 단체의 가장 초기 공격은 2009년부터 2012년까지 진행된 트로이 작전이었습니다. 이는 단순한 분산 서비스 거부(DDoS) 기술을 이용해 서울에 있는 대한민국 정부를 표적으로 삼은 사이버 간첩 캠페인이었습니다. 2011년과 2013년에도 공격을 감행했습니다. 확인할 수는 없지만, 2007년에 한국을 공격한 것도 이들에 의한 것일 가능성이 있다. 이 그룹의 주목할 만한 공격 중 하나는 2014년에 소니 픽처스를 표적으로 삼은 사건입니다. 이 공격에서는 더욱 정교한 기술이 사용되었고, 이 단체가 시간이 지날수록 더욱 성숙해졌다는 점을 보여주었습니다.

2015년에 라자루스 그룹은 에콰도르의 Banco Ostello에서 1,200만 달러를, 베트남의 Pioneer Bank에서 100만 달러를 훔친 것으로 알려졌습니다. 그들은 또한 폴란드와 멕시코의 은행을 표적으로 삼았습니다. 2016년 은행 강도 사건에서 그들은 은행을 공격하여 8,100만 달러를 훔쳤는데, 이 역시 이 조직의 소행으로 여겨진다. 2017년에 라자루스 그룹이 대만의 극동국제상업은행에서 6,000만 달러를 훔쳤다는 보고가 있었지만, 실제로 훔친 금액은 불분명하며 대부분의 자금은 회수되었습니다.

이 단체의 배후에 누가 있는지는 확실하지 않지만, 언론 보도에 따르면 이 단체는 북한과 긴밀한 관계를 맺고 있다. 카스퍼스키 랩은 2017년에 라자루스 그룹이 간첩 활동과 침투 사이버 공격에 주력하는 반면, 카스퍼스키가 "블루노로프"라고 부르는 그 안의 하위 조직은 금융 사이버 공격을 전문으로 한다고 보고했습니다. 카스퍼스키는 전 세계적으로 여러 공격을 발견하였고, 블루노로프와 해당 국가 간의 직접적인 IP 주소 연결을 찾아냈습니다.

그러나 카스퍼스키는 또한 코드 재사용이 수사관을 오도하고 북한에 책임을 묻기 위한 "거짓 깃발 작전"일 수 있다고 인정했습니다. 결국, 글로벌 "WannaCry" 웜 사이버 공격은 미국 국가안보국(NSA)의 기술을 모방했습니다. 랜섬웨어는 2017년 4월 Shadow Brokers라는 해커 그룹에 의해 공개된 NSA의 EternalBlue 취약점을 악용합니다. 2017년 시만텍은 "WannaCry" 공격이 Lazarus Group에 의해 수행되었을 가능성이 가장 높다고 보고했습니다.

2009 트로이 작전

라자루스 그룹의 첫 번째 대규모 해킹 사건은 2009년 7월 4일에 발생했으며, "트로이 작전"의 시작을 알렸습니다. 이 공격은 "MyDoomsday"와 "Bulldozer" 맬웨어를 사용해 미국과 한국의 웹사이트에 대규모이지만 정교하지 않은 DDoS 공격을 가했습니다. 이 공격은 약 36개의 웹사이트를 표적으로 삼아 마스터 부트 레코드(MBR)에 "독립기념일"이라는 텍스트를 삽입했습니다.

2013년 한국 사이버 공격(작전 1/다크 서울)

시간이 지나면서 이 조직의 공격은 더 정교해졌고, 그들의 기술과 도구는 더욱 성숙하고 효과적이 되었습니다. 2011년 3월 한국의 미디어, 금융 및 중요 인프라를 표적으로 삼은 "10일간의 비" 공격은 한국 내부의 손상된 컴퓨터에서 시작된 보다 정교한 DDoS 공격을 사용했습니다. 2013년 3월 20일, 한국의 방송사 3곳, 금융 기관, 인터넷 서비스 제공업체 1곳을 표적으로 삼아 데이터를 삭제하는 공격인 '다크 서울 작전'이 시작되었습니다. 당시, 자신들을 New Rome Cyber Legion과 WhoIs Team이라고 부르는 다른 두 그룹이 이 공격의 배후에 있다고 주장했지만, 연구원들은 Lazarus Group이 그 뒤에 있다는 사실을 알지 못했습니다. 오늘날 연구자들은 라자루스 그룹이 이런 파괴적인 공격의 배후에 있다는 것을 알고 있습니다.

2014년 후반: 소니 픽처스 해킹

2014년 11월 24일, 라자루스 그룹의 공격은 절정에 달했습니다. 같은 날, 레딧에 소니 픽처스가 알 수 없는 수단에 의해 해킹당했으며 공격자들은 자신들을 "평화의 수호자"라고 불렀다는 게시물이 올라왔습니다. 공격 이후 며칠 동안 많은 양의 데이터가 도난당하고 점차적으로 유출되었습니다. 이 단체의 일원이라고 주장하는 한 사람은 인터뷰에서 1년 이상 소니의 데이터를 훔쳐왔다고 말했습니다.

해커들은 미공개 영화, 일부 영화 대본, 향후 영화 계획, 회사 임원 급여 정보, 이메일, 약 4,000명의 직원 개인 정보에 접근할 수 있었습니다.

2016년 초 조사: 블록버스터 작전

"블록버스터 작전"이라는 코드명을 가진, Novetta가 이끄는 보안 회사 연합은 다양한 사이버보안 사건에서 발견된 맬웨어 샘플을 분석했습니다. 연구팀은 이 데이터를 활용해 해커의 행동 방식을 분석했다. 그들은 코드 재사용 패턴을 통해 라자루스 그룹을 여러 공격과 연결시켰습니다. 예를 들어, 그들은 인터넷에 거의 알려지지 않은 암호화 알고리즘인 "카라카스" 암호 알고리즘을 사용했습니다.

2016년 은행 사이버 도난 사건

2016년 2월에 은행 강도 사건이 발생했습니다. 보안 해커들이 국제은행간금융통신협회(SWIFT) 네트워크를 통해 35개의 사기 지침을 보내 뉴욕연방준비은행의 중앙은행 계좌에서 약 10억 달러를 불법으로 이체하려고 시도했습니다. 35건의 사기 지시 중 5건이 성공적으로 1억 100만 달러를 이체했는데, 이 중 2,000만 달러는 스리랑카로, 8,100만 달러는 필리핀으로 송금되었습니다. 뉴욕 연방준비은행은 철자가 틀린 지시에 의심을 품고 나머지 30건의 거래(8억 5천만 달러 상당)를 차단했습니다. 사이버보안 전문가들은 이번 공격의 배후에는 특정 국가의 라자루스 그룹이 있다고 밝혔습니다.

2017년 5월 "WannaCry" 랜섬웨어 공격

"WannaCry" 공격은 2017년 5월 12일에 발생한 대규모 랜섬웨어 사이버 공격으로, 영국의 국민건강보험(NHS)부터 보잉, 심지어 중국의 일부 대학까지 전 세계 여러 기관에 영향을 미쳤습니다. 공격은 7시간 19분 동안 지속되었습니다. 유로폴은 이 공격으로 인해 150개국에서 약 20만 대의 컴퓨터가 영향을 받았을 것으로 추정했으며, 주요 피해 지역으로는 러시아, 인도, 우크라이나, 대만이 포함되었습니다. 이는 최초의 암호화 웜 공격 가운데 하나였습니다. 크립토웜은 네트워크를 통해 컴퓨터에서 컴퓨터로 퍼지는 일종의 맬웨어로, 사용자의 직접적인 행위 없이도 컴퓨터를 감염시킵니다. 이 경우 TCP 포트 445를 사용합니다. 악성 링크를 클릭하지 않아도 컴퓨터가 바이러스에 감염될 수 있습니다. 맬웨어는 한 컴퓨터에서 연결된 프린터로, 무선 네트워크에 연결된 근처의 다른 컴퓨터로 자동으로 퍼질 수 있습니다. 포트 445의 취약점으로 인해 맬웨어가 내부 네트워크 내에서 자유롭게 퍼져 수천 대의 컴퓨터가 빠르게 감염되었습니다. WannaCry 공격은 대규모로 암호화 웜을 사용한 최초의 공격 중 하나였습니다.

공격 방법: 바이러스는 Windows 운영 체제의 취약점을 악용하여 컴퓨터 데이터를 암호화한 후 암호 해독 키로 약 300달러 상당의 비트코인을 지불하도록 요구합니다. 피해자의 몸값 지불을 독려하기 위해, 몸값은 3일 후에 두 배로 늘어나고, 일주일 안에 몸값을 지불하지 않으면 맬웨어는 암호화된 데이터 파일을 삭제합니다. 이 맬웨어는 Microsoft에서 개발한 "Windows Crypto"라는 합법적인 소프트웨어를 사용하여 파일을 암호화합니다. 암호화가 완료되면 파일 이름에 "Wincry"가 붙는데, 이것이 "WannaCry"라는 이름의 유래입니다. Wincry는 암호화의 기반이었지만 이 맬웨어는 EternalBlue와 DoublePulsar라는 두 가지 취약점도 악용하여 암호화 웜이 되었습니다. "EternalBlue"는 네트워크를 통해 자동으로 바이러스를 퍼뜨리는 반면, "Double Pulsar"는 바이러스가 피해자의 컴퓨터에서 활성화되도록 합니다. 즉, EternalBlue는 감염된 링크를 사용자의 컴퓨터로 전달하고 Double Pulsar가 사용자를 대신하여 해당 링크를 클릭해 줍니다.

보안 연구 회사에 근무하는 친구로부터 바이러스 샘플을 받은 후, 보안 연구원인 마커스 허친스는 바이러스에 "킬 스위치"가 하드코딩되어 있어 공격을 종료할 수 있다는 것을 발견했습니다. 이 맬웨어는 특정 도메인이 이미 등록되어 있는지 주기적으로 확인하고 해당 도메인이 없는 경우에만 암호화 작업을 진행합니다. 허친스는 이 수표를 발견하고 이후 오후 3시 3분(UTC)에 해당 도메인을 등록했습니다. 해당 악성코드는 즉시 확산을 멈추었고 새로운 기기에 대한 감염도 중단되었습니다. 이 상황은 매우 흥미롭고, 바이러스 제작자를 추적하는 데 단서를 제공합니다. 일반적으로 악성 소프트웨어를 차단하려면 해커와 보안 전문가가 몇 달 동안 치열한 경쟁을 벌여야 하기 때문에 이렇게 쉽게 승리할 수 있다는 것은 예상치 못한 일이었습니다. 이 공격의 또 다른 특이한 측면은 몸값을 지불한 후에도 파일을 복구할 수 없다는 것입니다. 해커가 몸값으로 받은 금액은 불과 16만 달러였고, 이로 인해 많은 사람들은 그들의 목적이 금전적인 것이 아니라고 생각했습니다.

킬 스위치가 쉽게 해독될 수 있었고 몸값 지불이 적었기 때문에 많은 사람들이 이 공격이 국가가 후원한 것이라고 믿었습니다. 이 공격의 동기는 금전적 보상이 아니라 혼란을 조성하는 것이었습니다. 공격 이후 보안 전문가들은 Double Pulsar의 취약점이 원래 사이버 무기로 개발된 미국 국가안보국에서 비롯된 것으로 추정했습니다. 나중에 "섀도우 브로커" 해커 그룹이 취약점을 훔쳐 처음에는 경매에 부치려 했지만 실패했습니다. 결국 그들은 그냥 무료로 공개했습니다. 이후 NSA는 마이크로소프트에 해당 취약점을 알렸고, 마이크로소프트는 공격 후 한 달도 채 지나지 않은 2017년 3월 14일에 업데이트를 출시했습니다. 하지만 그것만으로는 충분하지 않았습니다. 업데이트가 필수가 아니었기 때문에 5월 12일까지 취약점이 있는 대부분의 컴퓨터는 아직 패치되지 않았고, 공격으로 인해 놀라운 피해가 발생했습니다.

폴아웃: 미국 법무부와 영국 당국은 나중에 WannaCry 공격이 북한 해커 그룹인 Lazarus Group의 소행이라고 결정했습니다.

2017년 암호화폐 공격

2018년, Recorded Future는 주로 한국에서 암호화폐 비트코인과 모네로 사용자를 겨냥한 공격과 라자루스 그룹이 연관이 있다는 보고서를 발표했습니다. 이러한 공격은 WannaCry 랜섬웨어를 이용한 이전의 공격과 소니 픽처스에 대한 공격과 기술적으로 유사하다고 알려졌습니다. 라자루스 그룹 해커들이 사용한 전술 중 하나는 한글과컴퓨터에서 개발한 한국어 워드 프로세싱 소프트웨어인 한글의 취약점을 악용하는 것이었습니다. 또 다른 전술은 악성 코드가 포함된 스피어피싱 미끼를 보내 한국 학생과 코인링크 등 암호화폐 거래소 사용자를 표적으로 삼는 것입니다.

사용자가 맬웨어를 열면 이메일 주소와 비밀번호가 도용될 수 있습니다. Coinlink는 자사 웹사이트나 사용자의 이메일 주소와 비밀번호가 해킹당했다는 사실을 부인했습니다. 보고서는 "2017년 후반에 발생한 일련의 공격은 해당 국가가 암호화폐에 지속적으로 관심을 갖고 있다는 것을 보여주었으며, 현재 채굴, 랜섬웨어 공격, 노골적인 도난을 포함한 광범위한 활동이 포함되는 것으로 알려져 있습니다..."라고 결론지었습니다. 보고서는 또한 해당 국가가 이러한 암호화폐 공격을 이용해 국제 금융 제재를 우회했다고 밝혔습니다.

2017년 2월, 특정 국가의 해커가 한국의 암호화폐 거래 플랫폼인 빗썸에서 700만 달러를 훔쳤습니다. 또 다른 한국의 비트코인 거래소인 유빗은 2017년 4월에 공격을 받았고, 자산의 17%가 도난당한 후 같은 해 12월에 파산 신청을 해야 했습니다. 라자루스 그룹과 중국 해커들이 이 공격의 배후에 있다는 비난을 받았습니다. 2017년 12월, 암호화폐 클라우드 채굴 시장 Nicehash는 4,500개가 넘는 비트코인을 분실했습니다. 조사 결과에 따르면 이 공격은 라자루스 그룹과 연관이 있는 것으로 드러났습니다.

2019년 9월 공격

2019년 9월 중순, 미국은 "ElectricFish"라는 새로운 맬웨어가 발견되었다는 공개 경보를 발표했습니다. 2019년 초부터 특정 국가의 요원들이 전 세계적으로 5건의 주요 사이버 도난 사건을 저질렀는데, 그 중에는 쿠웨이트의 한 기관에서 4,900만 달러를 훔친 사건도 있습니다.

2020년 후반 제약회사 공격

COVID-19 팬데믹이 계속 확산됨에 따라, 제약 회사는 Lazarus Group의 주요 표적이 되었습니다. 라자루스 그룹 구성원은 스피어피싱 기술을 사용하여 보건 당국자처럼 행동하고 제약 회사 직원에게 악성 링크를 보냈습니다. 여러 대형 제약회사가 표적이 된 것으로 추정되지만, 지금까지 확인된 유일한 회사는 영국-스웨덴 기업인 아스트라제네카입니다. 로이터에 따르면, 많은 직원이 표적이 되었으며, 그 중 상당수가 새로운 코로나바이러스 백신 개발에 참여했습니다. 라자루스 그룹이 이런 공격을 감행한 목적이 무엇인지는 확실하지 않지만, 이익을 위해 민감한 정보를 훔치거나, 강탈 계획을 실행하거나, 외국 정권이 코로나바이러스와 관련된 독점 연구에 접근하도록 돕는 것 등이 포함되어 있을 수 있습니다. 아스트라제네카 측은 아직 이 사건에 대해 언급하지 않았으며, 전문가들은 민감한 데이터가 유출되지 않았을 것으로 보고 있습니다.

2021년 1월 사이버 보안 연구원에 대한 공격

2021년 1월, 구글과 마이크로소프트는 모두 특정 국가의 해커 그룹이 사회 공학적 수단을 통해 사이버 보안 연구자들을 공격했다고 공개적으로 보고했습니다. 마이크로소프트는 이 공격이 라자루스 그룹이 수행했다고 분명히 지적했습니다.

해커들은 Twitter, GitHub, LinkedIn 등의 플랫폼에 여러 사용자 프로필을 만들어 합법적인 소프트웨어 취약점 연구자처럼 행동하고 보안 연구 커뮤니티의 다른 사람들이 게시한 게시물과 콘텐츠에 접근했습니다. 그런 다음 해커는 특정 보안 연구원에게 직접 연락하여 연구에 협력하는 것처럼 가장하고 피해자를 속여 악성 코드가 포함된 파일을 다운로드하거나 해커가 제어하는 웹사이트의 블로그 게시물을 방문하게 했습니다.

블로그 게시물을 방문한 일부 피해자는 Google Chrome 브라우저의 완전히 패치된 버전을 사용했음에도 불구하고 컴퓨터가 침해당했다고 말하며 해커가 이전에 알려지지 않았던 Chrome 제로데이 취약점을 악용했을 가능성이 있다고 말했습니다. 하지만 Google은 보도 당시 구체적인 침해 방법을 알 수 없다고 밝혔습니다.

2022년 3월 Axie Infinity 공격

2022년 3월, Lazarus Group은 Axie Infinity 게임에서 사용하는 Ronin 네트워크에서 6억 2천만 달러 상당의 암호화폐를 훔친 혐의를 받았습니다. FBI는 "조사를 통해 라자루스 그룹과 APT38(북한과 관련된 사이버 공격자)이 이번 도난의 배후에 있다는 것을 확인했습니다."라고 밝혔습니다.

2022년 6월 호라이즌 브릿지 공격

FBI는 북한의 악성 사이버 행위자 그룹인 라자루스 그룹(APT38)이 2022년 6월 24일에 보고된 하모니의 호라이즌 브릿지에서 1억 달러 상당의 가상화폐를 훔친 사건의 배후에 있다고 확인했습니다.

2023년 기타 관련 암호화폐 공격

블록체인 보안 플랫폼 Immunefi가 발표한 보고서에 따르면 Lazarus Group은 2023년에 암호화폐 해킹 공격으로 3억 달러 이상의 손실을 입혔으며, 이는 그해 총 손실액의 17.6%를 차지한다고 밝혔습니다.

2023년 6월 Atomic Wallet 공격: 2023년 6월, Atomic Wallet 서비스 사용자로부터 1억 달러 상당의 암호화폐가 도난당했으며, 이 사건은 나중에 FBI에 의해 확인되었습니다.

2023년 9월 Stake.com 해킹: 2023년 9월, FBI는 온라인 카지노 및 도박 플랫폼인 Stake.com에서 4,100만 달러 상당의 암호화폐가 도난당했으며, 가해자는 Lazarus Group이라고 확인했습니다.

미국 제재

2022년 4월 14일, 미국 재무부 외국자산통제국(OFAC)은 국가 제재 규정 제510.214조에 따라 라자루스 그룹을 특별 지정 국민 목록(SDN 목록)에 추가했습니다.

2024년 암호화폐 공격

인도 언론 보도에 따르면, WazirX라는 국내 암호화폐 거래소가 이 조직의 공격을 받아 2억 3,490만 달러 상당의 암호화폐 자산이 도난당했습니다.

인사교육

일부 북한 해커들이 컴퓨터, 컴퓨터 네트워크, 서버에 다양한 유형의 악성 코드를 이식하는 방법을 배우기 위해 중국 선양으로 전문 교육을 받기 위해 파견된다는 소문이 있습니다. 북한 내에서는 김책공업대학, 김일성대학, 만경대대학이 관련 교육 업무를 담당하고 있습니다. 이 대학들은 전국에서 가장 우수한 학생들을 선발하여 6년간 특수교육을 실시합니다. 대학 교육 외에도 "최고의 프로그래머 중 일부는... 만경대 대학이나 미림대학에 파견되어 추가 학업을 받습니다."

조직 지점

라자루스 그룹에는 두 개의 지부가 있는 것으로 여겨진다.

조직 지점

라자루스 그룹에는 두 개의 지부가 있는 것으로 여겨진다.

블루노르오프

BlueNorOff(APT38, "Star Maxima", "BeagleBoyz", "NICKEL GLADSTONE"으로도 알려짐)는 국제은행간금융통신협회(SWIFT) 지침을 위조하여 불법적인 자금 이체를 수행하는 재정적 동기를 가진 그룹입니다. Mandiant에서는 이를 APT38이라고 부르고 Crowdstrike에서는 "Star Maxima"라고 부릅니다.

2020년 미국 육군 보고서에 따르면 BlueNorOff는 약 1,700명의 구성원을 보유하고 있으며, 적의 네트워크 취약성과 시스템을 장기적으로 평가하고 악용하는 데 주력하고 있으며, 해당 국가의 정권이나 통제 관련 시스템을 위해 재정적 이익을 얻기 위해 재정적 사이버범죄 활동에 참여하고 있습니다. 2014년부터 2021년 사이에 이들의 타깃에는 방글라데시, 칠레, 인도, 멕시코, 파키스탄, 필리핀, 한국, 대만, 터키, 베트남 등 최소 13개국의 16개 기관이 포함되었습니다. 불법 수익은 해당 국가의 미사일과 핵 기술 개발에 자금 지원된 것으로 추정됩니다.

BlueNorOff의 가장 악명 높은 공격은 2016년 은행 강도 사건으로, SWIFT 네트워크를 통해 뉴욕 연방준비은행의 한 국가 중앙은행 계좌에서 약 10억 달러를 불법으로 이체하려고 시도했습니다. 일부 거래가 성공적으로 완료된 후(2,000만 달러가 스리랑카로, 8,100만 달러가 필리핀으로 입금됨) 뉴욕 연방준비은행은 지시사항의 철자 오류를 의심하여 나머지를 차단했습니다.

BlueNorOff와 관련된 맬웨어에는 DarkComet, Mimikatz, Nestegg, Macktruck, WannaCry, Whiteout, Quickcafe, Rawhide, Smoothride, TightVNC, Sorrybrute, Keylime, Snapshot, Mapmaker, net.exe, sysmon, Bootwreck, Cleantoad, Closeshave, Dyepack, Hermes, Twopence, Electricfish, Powerratankba, Powerspritz 등이 있습니다.

BlueNorOff의 일반적인 방법에는 피싱, 백도어 설정, 취약점 악용, 워터링 홀 공격, 오래되고 안전하지 않은 Apache Struts 2 버전을 사용하여 시스템에서 코드 실행, 웹사이트 전략적 해킹, Linux 서버 액세스 등이 있습니다. 때때로 범죄 해커와 협력한다는 보고도 있습니다.

앤드아리엘

안드아리엘은 안다리알로도 표기되며, 사일런트 초리마, 다크 서울, 라이플, 와소나이트로도 알려져 있으며, 논리적으로 한국을 표적으로 삼는 것이 특징입니다. Andril의 별명 "Silent Maxima"는 그룹의 비밀스러운 성격에서 유래되었습니다.[70] 안드릴은 정부 부서, 국방 기관, 다양한 경제적 랜드마크 기업을 포함하여 대한민국의 모든 기관을 공격할 수 있습니다.

2020년 미국 육군 보고서에 따르면, 안드릴은 정찰을 실시하고, 네트워크 취약성을 평가하고, 잠재적인 공격을 위해 적의 네트워크를 매핑하는 임무를 맡은 약 1,600명의 구성원을 보유하고 있습니다. 그들은 한국뿐만 아니라 다른 국가의 정부, 인프라, 기업도 표적으로 삼았습니다. 공격 방법에는 다음이 포함됩니다: ActiveX 컨트롤 악용, 한국어 소프트웨어 취약점, 워터링 홀 공격, 스피어 피싱(매크로 바이러스 방식), IT 관리 제품(예: 바이러스 백신 소프트웨어, 프로젝트 관리 소프트웨어)에 대한 공격, 공급망(설치 프로그램 및 업데이터)을 통한 공격. 사용된 맬웨어는 다음과 같습니다: Aryan, Gh0st RAT, Rifdoor, Phandoor, Andarat.