Home > 전체기사

북한의 라자루스, 코인베이스 사칭하여 애플 M1 칩셋 공격

  |  입력 : 2022-08-19 18:02
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
북한의 공격자들은 이제 첫 손에 꼽히는 해커들이다. 블록체인도 적극적으로 노리고 적잖은 암호화폐를 거둬들였다. 그러더니 애플이 자랑하는 M1 칩셋도 노리기 시작했다.

[보안뉴스 문가용 기자] 북한의 APT 공격 단체인 라자루스(Lazarus)가 최근 애플의 M1 칩셋에 대한 공격 수위를 높였다는 조사 보고서가 발표됐다. 보안 업체 이셋(ESET)에 의하면 라자루스는 계속해서 가짜 취업 안내문 혹은 스카우트 제안문을 피싱 공격의 미끼로 내걸고 여러 부류의 사람들을 공격하고 있는데, 최근에는 유명 암호화폐 플랫폼인 코인베이스(Coinbase)의 암호화폐 거래 운영자 자리가 났다는 내용의 문서로 멀웨어를 내보내는 중이라고 한다. 그런데 이 멀웨어가 M1 칩셋을 노리고 만든 것이다.

[이미지 = utoimage]


이셋이 트위터를 통해 발표한 경고에 의하면 라자루스는 가짜 취직 제안서를 브라질에서부터 바이러스토탈(VirusTotal)로 업로드했다고 한다. 가장 최신 버전의 파일명은 Interception.dll이며, 맥 시스템에서 실행될 경우 세 가지 파일을 로딩하게 된다. 
1) 가짜 코인베이스 구인 공고가 저장된 PDF 문서
2) FinderFontsUpdater.app이라는 실행파일
3) safarifontsagent라는 실행파일

3년 전부터 이셋의 연구원들은 인셉션 작전(Operation Inception) 혹은 인터셉션 작전(Operation Interception)을 추적해 왔다. 당시 라자루스는 주로 우주항공과 국방 산업 쪽 기업들을 노리고 작전을 펼쳤었다. 좋은 자리가 났으니 지원하라는 안내문이 피해자들에게 전달되는데, 링크드인이라는 구인 구직 전용 소셜미디어가 활용되기도 했었다. 그러더니 최근에는 애플의 최신 칩셋 중 하나인 M1까지 공략하기 시작한 것이다. 

재미있는 건 가짜 구인 광고로 피싱 공격을 하는 대상이 IT 기술에 능숙한 사람들이라는 것이다. 코인베이스의 블록체인 엔지니어 자리에 들어갈 만한 사람을 찾는다는 내용이 가짜 PDF 파일에 담겨 있다. 이셋의 수석 멀웨어 연구원인 피터 칼나이(Peter Kalnai)는 “테크에 능숙한 사람들에게 다짜고짜 이런 뻔한 속임수를 발동시킨 게 아니라, 미리 관계를 어느 정도 형성해 놓은 상태에서 가짜 입사 제안 문서를 보냈을 것”이라고 보고 있다.

이셋은 이러한 라자루스의 움직임을 애플에 알렸고, 애플은 지난 주가 끝나갈 무렵 새 M1 멀웨어와 연루된 인증서를 취소시켰다. 맥OS 카탈리나 10.15 이후 버전 OS가 설치된 맥킨토시 시스템들은 이셋이 경고한 라자루스의 공격에서부터 보호된다. 

“라자루스의 이번 캠페인에서 악용되던 인증서는 취소됐고, 그렇기 때문에 당분간 라자루스의 캠페인은 더 진행되기 힘듭니다. 새로운 인증서를 찾거나, 다른 방법으로 멀웨어를 설치할 방법을 찾기야 하겠지만 그 때까지는 기존 전략을 사용하지는 못할 겁니다. 예상컨데 취소되지 않은, 새로운 인증서를 다시 구해서 활용하지 않을까 생각합니다.” 칼나이의 설명이다.

북한 해커들의 끊임없는 공격 시도는 세계 여러 정부의 골치를 아프게 만들고 있다. FBI는 라자루스가 로닌 네트워크(Ronin Network)라는 블록체인 플랫폼에서 6억 2500만 달러의 암호화폐를 훔쳤다고 발표하기도 했었다. 오바마와 트럼프 정권 당시 백악관에서 보안을 담당했었던 앤드류 그로토(Andrew Grotto)는 “현재 북한은 세계에서 가장 큰 사이버 위협으로 꼽혀도 전혀 손색이 없다”고 말했다.

“북한의 해커들은 불과 몇 년 전만 하더라도 그리 높은 수준의 실력을 보이지 않았고, 그래서 큰 위협거리가 되지 않았습니다. 하지만 불과 몇 년 사이에 실력을 엄청나게 키웠고, 기술 개발 역시 빠르게 이뤄냈습니다. 지금은 신기술, 하이테크 기술에 대한 사이버 공격을 실시하는 데 있어서 가장 실력이 좋은  편에 속합니다.” 그로토의 경고다. “M1이라는 비교적 새로운 칩셋을 공략하는 것도 가장 활발히 하고 있다는 게 그들의 실력을 입증합니다.”

3줄 요약
1. 블록체인 계통 노리는 북한의 라자루스, 코인베이스 입사 제안서로 엔지니어들 유혹.
2. 애플의 M1 칩셋을 노리는 멀웨어를 가짜 입사 제안서 통해 퍼트림.
3. 북한의 해커들은 최신 기술들을 활용하거나 노리는 데 능숙함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)