Home > 전체기사

비트코인 훔치기 위해 새로운 공격 툴 가지고 온 북한

  |  입력 : 2017-12-20 23:15
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
파워라탕크바라는 최종 페이로드 전달하기 위한 6가지 공격법
정치적 공격과 금전적 공격 모두 능한 라자루스...연말 시즌 기승 부릴 듯


[보안뉴스 문가용 기자] 국제적인 경제 제재로 국가 수입이 불투명해진 가운데 북한이 암호화폐를 점점 더 거세게 노리고 있다. 최근 보안 업체 프루프포인트(proofpoint)는 비트코인을 노리는 북한의 새로운 공격 방식을 발견해 보고서를 발표했다.

[이미지 = iclickart]


프루프포인트가 새롭게 발견한 라자루스(북한으로 추정되는 해킹 그룹)의 공격 무기는 파워라탕크바(PowerRatankba)라고 하며, 비트코인 관련 업체나 조직들의 고위직 임원이나 관계자를 표적으로 하는 스피어피싱 캠페인을 통해 퍼지고 있다고 한다. 공격의 시작은 6월 30일부터였다.

6가지 공격 방법
공격은 여러 단계를 거쳐 일어나고, 파워라탕크바는 최종적으로 피해자의 시스템에 다운로드 되는 페이로드의 이름이다. 이 최종 페이로드를 안착시키기 위해 라자루스 그룹이 동원한 공격 방식은 여태까지 총 6가지인 것으로 밝혀졌다.

1) 윈도우 실행파일 형식의 다운로더. 이름은 파워스프리츠(PowerSpritz)라고 한다. 파워스프리츠는 윈도우 실행파일로, 정상적인 페이로드와 악성 파워셸 명령을 숨기고 있다. 흔히 발견할 수 없는 암호화 알고리즘인 스프리츠(Spritz)를 사용해 이 둘을 자기 안에 감춘다고 프루프포인트는 설명한다. 그러면 애초에 이 파워스프리츠는 어떻게 피해자에게 전달될까? 프루프포인트는 “타이니CC(TinyCC)라는 링크 단축 서비스를 활용한 스피어피싱 공격”이라고 말한다.

“이 링크를 클릭하면 공격자가 통제하는 것으로 보이는 서버들로 우회됩니다. 그 서버에는 악성 파워스프리츠가 호스팅 되어 있고요. 가짜 스카이프 업데이트 링크로 가장해 사용자들을 속이는 걸 트위터에서 목격했습니다. 추적을 계속했더니 스카이프뿐만 아니라 텔레그램 업데이트인 것처럼 속인 사례도 있었습니다. 일부 악성 페이로드가 구글 드라이브에 호스팅 된 것도 발견했는데, 이게 실제로 공격에 활용되었는지는 확인하지 못했습니다.”

피해자가 스카이프나 텔레그램 업데이트 파일인 줄 알고 클릭하면, 실제 스카이프와 텔레그램이 설치되는 화면이 나타난다. 하지만 파워스프리츠 악성 파워셸 명령을 복호화해 실행한다. 이 파워셸 명령의 내용은 “최종 페이로드인 파워라탕크바를 다운로드 받으라”는 것이다. 여러 샘플을 다 분석했지만 이 악성 파워셸 명령은 동일했다.

2) 악성 윈도우 바로가기 파일(LNK). PDF 문서에 대한 바로가기 파일인 것처럼 위장되어 있다. Scanned Document Part 1.pdf.link라는 이름을 가지고 있으며, 1이란 숫자가 2로 바뀐 샘플도 발견할 수 있었다. PDF 파일인 줄 알고 이 바로가기를 클릭하면 타이니URL(TinyURL)이라는 URL 단축 서비스 주소로 연결돼 거기서부터 페이로드가 다운로드 된다. 하지만 LNK 파일 자체가 어떤 식으로 피해자에게 전달되는지는 파악하지 못했다.

3) 악성 마이크로소프트 컴파일드 HTML 헬프(CHM) 파일. 윈도우 도움말 파일 형식을 빌린 공격이다. 오리엔탈 익스체인지(Oriental Exchange)에서 발간한 것처럼 보이는 블록체인 기술 관련 문서나 ICO 플랫폼 관련 문서, 팔콘 코인(Falcon Coin) ICO에 관한 문서, 암호화폐 거래 플랫폼 개발 관련 문서, 이메일 마케팅 툴 개발 관련 문서인 것처럼 위장되어 있다.

프루프포인트가 발견한 악성 CHM 파일들은 전부 1) 악성코드를 실행하는 기능을 가진 바로가기 객체를 만들고, x.Click()이라는 함수를 통해 1)에서 만든 바로가기 객체가 자동으로 클릭되는 기술을 내포하고 있다. 악성 페이로드를 스스로 내포하고 있지 않기 때문에 다른 곳에서부터 가져와야 하는데, 이 때 VB스크립트 명령어와 BITSAdmin 툴을 사용해 악성 VB스크립트 파일을 다운로드 받는다. 파일은 C:\Windows\temp\PowerOpt.vbs에 저장된다. 다운로드된 스크립트는 최종 페이로드인 파워라탕크바를 다운로드 받는다.

하지만 LNK 파일과 마찬가지로 CHM 파일의 최초 배포 방법은 아직 명확하게 밝혀내지 못했다.

4) 자바스크립트 다운로더. 자바스크립트 다운로더가 포함된 ZIP 파일 형태로 공격자가 관리하고 있는 것으로 보이는 서버에 호스팅되어 있었다. ZIP 파일 안에는 가짜 PDF 문서들과 기타 파일들이 들어 있는데, 파일 이름에 코인베이스(Coinbase)나 빗썸(Bithumb), 팔콘 코인(Falcon Coin) 등 각종 유명 비트코인 거래소가 포함되어 있다. “이를 바탕으로 보건데 소셜 엔지니어링 기법으로 최초에 배포됐을 가능성이 높습니다.”

자바스크립트 다운로더는 JavaScript Obfuscator 혹은 그와 유사한 툴로 난독화 처리되어 있지만 작동 원리 자체가 크게 복잡한 건 아니다. 먼저 PowerRatankba.B PowerShell 스크립트가 가짜 이미지 URL로부터 다운로드 된다. 그런 후 C:\Users\Public\Pictures\opt.ps1으로 저장되고, 실행된다. 그러면 가짜 PDF 파일이 다운로드 되고, rundll32.exe나 shell32.dll 등이 동원되어 PDF 파일이 열린다. 특별히 코인베이스가 언급된 가짜 PDF 파일 내에서는 라자루스가 한 것으로 추측되는 이전 스파이 캠페인에서 발견된 흔적들이 나오기도 했다.

5) 악성 매크로를 포함한 마이크로소프트 문서. 워드 문서와 엑셀 문서, 두 가지가 여태까지 발견됐다. 워드 문서의 경우 미국 국세청과 관련된 제목을 가지고 있으며 report phishing.doc라는 이름의 첨부파일 형태로 전달된다. 엑셀 파일의 경우 @mail.com이라는 주소로부터 발송되며 Phishing Warning(피싱 경고)라는 제목의 메일에 첨부되어 있다. 둘 다 특정 서버로부터 파워라탕크바 비주얼스크립트를 다운로드 받고 실행시킨다. 그러면 이 스크립트는 PowerRatankba.B를 gif 파일 형태로 다운로드 받아 실행한다.

6) 인기가 높은 암호화폐 관련 애플리케이션에 백도어 심기. 최근 라자루스 그룹은 암호화폐와 관련된 정상적이고 인기가 높은 웹사이트를 흉내 낸 가짜 웹사이트들을 만들었다. 그래서 사용자들의 방문을 유도해 암호화폐 관련 애플리케이션을 다운로드 받도록 했다. 당연히 이 애플리케이션들에는 백도어가 심겨져 있었다. 피해자가 이 애플리케이션을 받고 설치하면 뒤에서는 파워라탕크바가 다운로드 되어 실행된다.

이 중에서 악성 LNK 파일과 CHM 파일들, 그리고 자바스크립트 다운로더가 어떤 경로로 피해자에게 전달되는지 프루프포인트는 아직 밝혀내지 못했다. 하지만 “라자루스의 이전 공격 방식을 고려했을 때, 다양한 피싱 이메일 공격을 감행했을 것”이라고 추측하고 있다.

파워라탕크바에 관하여
최종 페이로드인 파워라탕크바는 원래 라탕크바(Ratankba)라는 스파잉 툴을 기본으로 만들어진 것으로 보인다. 둘 다 HTTP 방식으로 C&C와 통신한다. 파워라탕크바의 경우 실행되면 먼저 자신이 침해한 기기의 상세 정보를 C&C로 보낸다. 이때 BaseInfo HTTP POST를 활용한다. 컴퓨터 이름, IP 주소, OS 부팅 시간, 설치 날짜, 언어 등이 여기에 포함된다.

그러고 난 후 WHAT HTTP GET이나 WHAT HTTP라는 요청을 통해 C&C로부터 명령을 받는다. 명령을 실행한 후 그 결과를 다시 C&C로 보낸다. 이 모든 과정이 평문으로 진행된다. 실제로 활용되는 명령은 네 가지 정도이다. 변종에 따라 success, killkill, Execute, DownExec 혹은 success, killkill, interval, cmd, cf_sv, rrr, exe/inj 등을 포함하고 있다.

또한, 피해자 시스템에 오래 머물기 위해 JS 파일을 ‘시작 프로그램’ 폴더에 다운로드 받는다. 즉 사용자 계정이 로그인 될 때마다 발동된다는 것이다. 한 변종은 고스트RAT(Gh0st RAT)이라는 원격 접근 트로이목마를 다운로드 받기도 한다. 이는 피해자가 공격자의 의도대로 움직이지 않을 경우를 대비해 파워라탕크바로 감염시킨 기기에 대한 완전 통제권을 공격자가 가져오기 위한 것으로 보인다.

프루프포인트는 “라자루스 그룹은 빠르게 진화하고, 무기고는 빠르게 충원된다”며 “보통 정부의 후원을 받는 해킹 단체는 정치적인 공격에 특화되어 있지만 라자루스는 돈을 목적으로 한 공격에도 뛰어난 예외적인 존재”라고 경고한다. 정부 공격이라고 해서 정치적인 것으로만 알고 방비했다간 놓치는 것이 많을 것이라는 뜻이다.

또한 “최근 들어 조직이나 단체가 아니라 개개인을 노리는 표적 공격에 집중하는 것으로 보인다”며 “이는 개개인이 조직보다 약한 방어 체계를 가지고 있기 때문”이라고 분석했다. “암호화폐의 예기치 않은 붐과 연말연시 시즌이 맞물려 북한의 공격은 더욱 거세질 것으로 예상됩니다.”

기술적인 내용이 상세히 적힌 이 보고서의 원문은 여기 주소
(https://www.proofpoint.com/us/threat-insight/post/north-korea-bitten-bitcoin-bug-financially-motivated-campaigns-reveal-new)에서 다운로드가 가능하다(영문).
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 5
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 다크웹을 통한 데이터 및 개인정보 유출이 빈번하게 발생하고 있습니다. 다크웹에 대해 아시거나 접속해 보신 적이 있으신가요?
다크웹에 대해 들었지만, 접속해본 적은 없다
1~2번 접속해본 적 있지만, 활용방법은 잘 모른다.
종종 들어가서 업무에 활용하기도 한다.
가끔 전문가를 통해 접속해서 유출 정보를 찾는다.
기타(댓글로)