세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사 > 외신
북한의 라자루스 그룹, 하오바오 공격 새롭게 시작
  |  입력 : 2018-02-14 11:41
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
라자루스 그룹, 은행과 비트코인 사용자들을 1월부터 노리기 시작
직업 채용과 관련된 허위 문서 보내...스캔 기능 통해 공격 대상 가려내


[보안뉴스 문가용 기자] 북한의 해킹 단체인 라자루스 그룹(Lazarus Group)이 하오바오(HaoBao)라는 새로운 사이버 공격 캠페인을 벌이고 있다는 것이 드러났다. 하오바오는 은행과 비트코인 사용자들을 표적으로 삼아 진행되는 공격이며, 스피어피싱이 주로 활용된다고 한다.

[이미지 = iclickart]


스피어피싱 이메일은 채용 전문가 혹은 입사 희망자로 위장되어 있다. 라자루스 그룹이 이미 한 번 썼던 전략이다. 작년 4월부터 10월까지 입사지원서로 위장된 스피어피싱 이메일을 영어와 한국어로 작성해 여러 기업이나 단체들에 보낸 것이다. 이 공격을 통해 라자루스 그룹은 해당 조직에 접근하는 데 성공해 민감한 정보와 돈을 빼갔다.

이번에 새롭게 시작되고 발견된 라자루스 그룹의 공격은 홍콩에 있는 인력 계발 전문가이면서 헤드 헌팅을 전문으로 하는 허구의 인물을 동원하고 있다고 한다. 보안 업체 맥아피(McAfee)가 이 공격을 처음 발견했고, 1월 16일부터 24일간 이런 메일들이 다수 전송된 것을 파악해냈다. 물론 악성 파일들이 포함된 메일들이었다.

전략 자체는 작년의 그것과 크게 다르지 않지만 실제 공격을 하는 악성 임플란트 자체는 크게 바뀌었다고 맥아피는 설명한다. 라자루스는 물론 다른 해커들도 여태까지 사용해본 적 없는 것이라고 맥아피의 수석 분석가인 라이언 셔스토비토프(Ryan Sherstobitoff)는 말한다.

“이 악성 임플란트는 크게 두 가지 페이로드로 구성되어 있습니다. 하나는 피해자가 ‘콘텐츠 활성화’를 허용했을 때 발동되며, 비주얼 베이직 매크로를 활용합니다. 가벼운 암호화폐 스캐너로 시스템과 사용자에 대한 정보를 일부 수집한 후 비트코인 지갑 주소나 레지스트리 키를 스캐닝하기 시작한다. 즉 ‘지금 이 시스템에서 비트코인이 사용되고 있는 것인지 아닌지’ 여부를 판단하는 것이지요.”

이전의 ‘가짜 이력서’ 스피어피싱 공격보다 더 조심스럽게 공격 대상을 고른다는 게 셔스토비토프의 설명이다. “비트코인을 훔쳐내고야 말겠다는 목적 자체에 대해서는 공격적으로 접근합니다만, 표적을 고르고 공격을 실행할 때에는 전보다 훨씬 조심스럽고 조용해졌어요.”

첫 번째 페이로드가 비트코인 지갑을 찾아냈다면 그 다음으로 두 번째 페이로드가 발동된다. 이는 보다 ‘장기적인 기능’을 발휘하는 페이로드로, 시스템에 최대한 오래 남아 있으면서 C&C 서버와 지속적인 연락을 주고받기 위한 발판이 된다. 아직 분석이 진행 중이긴 하지만 “비트코인 지갑의 비밀 키를 훔쳐내는 기능을 가지고 있을 것으로 판단”된다고 한다.

셔스토비토프는 “라자루스 그룹이 이전에는 크고 거대한 설치파일을 주로 사용했는데, 이제는 가볍고 빠른 임플란트를 주로 사용하는 쪽으로 전략을 선회시킨 것으로 보인다”고 분석한다. “현재 하오바오 공격에서 사용되고 있는 임플란트들은 메모리로 곧장 로딩되며, 그래서 탐지와 포렌식을 더 어렵게 만듭니다.”

즉 해커들 사이에서 유행하기 시작한 ‘파일레스 공격’을 라자루스 그룹도 시작했다는 것이다. “흔적을 말끔히 지워내는 것, 그래서 추적이 불가하게 만드는 건 주로 러시아의 해커들이 잘 하던 것이었죠. 이걸 북한의 공격자들도 익힌 것으로 보입니다. 자신들의 행위를 최대한 감추고, 비판에서도 자유롭겠다는 것이 그들의 공격 목적에 들어가게 되었습니다.”

그러나 파일레스 공격에 사용되는 임플란트가 백신 툴들을 전부 무력화시키는 건 아니다. 오히려 제대로 탐지하면 기존 솔루션들로도 발견할 수 있다는 게 셔스토비토프의 설명이다. “다만 공격 자체가 일반 대중들에게 마구 살포되는 게 아니라 표적형이기 때문에 잘 발견되지 않는 겁니다. 또한 백신 최신화를 시키지 않는다면 우회할 가능성도 높아지기 때문에 이런 공격들이 통하는 것이죠.”

마침 미국의 침해대응센터도 현지 시각으로 화요일 하드레인(HARDRAIN)과 배드콜(BADCALL)이라는 멀웨어 변종들을 국토안보부와 FBI가 발견했다며 유의하라는 권고 사항을 발표했다. 또한 이는 북한 정부가 사용하는 것이라고도 명시했다. 참고로 미국 정부는 라자루스 그룹을 히든 코브라(Hidden Cobra)라고 부른다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
내년 초 5G 상용화를 앞두고 통신사들의 경쟁이 더욱 치열해지고 있습니다. 다가오는 5G 시대, 무엇보다 보안성이 중요한데요. 5G 보안 강화를 위해 가장 잘 준비하고 있는 통신사는 어디라고 보시는지요?
SK텔레콤
KT
LG유플러스
잘 모르겠다
기타(댓글로)