Home > 전체기사
‘평화의 DMZ’에 콧방귀 끼듯 북한의 공격 무기 또 발견
  |  입력 : 2019-09-25 11:47
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
인도의 연구 시설과 금융 기관들에서 발견된 멀웨어...추적해보니 라자루스
샘플만 180개 확보 성공...그만큼 공격 활발히 진행하고 있다는 뜻


[보안뉴스 문가용 기자] 인도에서 한 뱅킹 멀웨어가 발견됐다. 이름은 디트랙(Dtrack)이라고 하는데, 추적하다보니 북한의 라자루스 그룹(Lazarus Group)이 나왔다. 이에 대해 보안 업체 카스퍼스키(Kaspersky)가 상세히 발표했다.

[이미지 = iclickart]


디트랙은 일종의 트로이목마 유형의 멀웨어로, ATM디트랙(ATMDtrack)이라는 ATM 공격용 멀웨어를 분석하다가 발견된 것이다. ATM디트랙은 이름 그대로 ATM 기계에 심는 것인데, 공격자들은 이 멀웨어를 통해 지불카드 정보를 읽고 저장할 수 있게 된다. ATM디트랙을 조사하던 카스퍼스키의 보안 전문가들은 약 180개의 디트랙 샘플을 확보하는 데 성공했다.

디트랙의 페이로드는 다양한 드로퍼들로 암호화 되어 있었다. 복호화 후에야 최종 페이로드가 모습을 드러냈는데, 카스퍼스키는 “2013년에 발생했던 다크서울(DarkSeoul) 캠페인에서 발견된 멀웨어와 상당히 유사한 점이 많다”는 것을 파악할 수 있었다. 다크서울은 한국을 겨냥했던 북한 라자루스의 사이버 공격 캠페인이다.

“자신들이 예전에 사용했던 코드를 재활용해서 금융 분야를 공격하기 위한 도구를 개발한 듯합니다. 인도의 금융 분야와 연구 시설에서 발견된 멀웨어들이 바로 그러한 것들이죠. 저희의 분석에 의하면 디트랙은 9월초에 마지막으로 사용됐습니다.” 카스퍼스키의 설명이다. “다만 기존 멀웨어에 비해 실행파일 하나, 프로세스 할로윙(process hollowing)용 셸코드, 미리 정의된 실행파일 이름 목록(이는 프로세스 생성에 활용되는 것으로 보임)이 추가됐습니다.”

디트랙이 시스템에서 실행되면 데이터 복호화가 먼저 이뤄진다. 그런 후에 프로세스 할로윙 코드가 실행되면서, 미리 정의된 목록에서 따온 이름을 아규먼트로 활용한다. 프로세스 할로윙 공격을 받는 프로세스는 중단되고, 메모리 할당 영역은 덮어쓰기 처리 된다. 덮어쓰기에 사용되는 건 드로퍼 오버레이에서 나온다.

디트랙을 암호화 하고 있는 드로퍼들에는 다양한 실행파일이 추가되어 있는데, 전부 피해자의 시스템을 염탐하고 정보를 수집하는 기능을 가지고 있다. 키로깅, 브라우저 히스토리 수집, 호스트 IP 주소 수집, 네트워크 정보 수집, 연결된 장비 정보 수집, 현재 실행되고 있는 프로세스와 디스크에 있는 모든 파일의 목록을 생성한다.

또한 일부 실행파일들은 이렇게 수집된 정보를 한 곳에 모아 비밀번호를 걸고 압축하는 기능을 가지고 있다. 이 압축파일은 디스크에 저장되며, 적절한 때에 공격자들의 C&C 서버로 전송된다.

드로퍼들 중에는 원격 접근 툴 기능을 하는 것도 있었는데, 이는 파일의 업로드와 다운로드, 디스크 볼륨 덤핑, 표적이 되는 파일의 지속적인 감시와 추출 등의 기능을 가지고 있었다. 또한 새로운 명령을 확인하는 시간의 주기를 설정하고, 바이너리를 삭제하기도 했다.

ATM디트랙은 디트랙이라는 멀웨어 패밀리에 속하는 하위 멀웨어인 것으로 카스퍼스키는 결론을 내리고 있다. “그러나 디트랙과 ATM디트랙 모두 같은 인물이나 단체가 만들었습니다. 또한 운영자도 서로 연결되어 있을 가능성이 높습니다. 작동 유형과 기능의 발동 방식이 흡사하거든요.”

그러므로 카스퍼스키는 “라자루스 그룹에 새로운 멀웨어 패밀리를 연관지을 수 있게 됐다”고 주장한다. “디트랙 샘플을 180개나 확보할 수 있었던 건, 라자루스 그룹이 대단히 활발하게 움직이고 있다는 뜻이 됩니다. 아마 지금 활동하는 APT 그룹들 중 첫 손에 꼽혀도 무방하지 않을까 합니다. 또한 이들은 자신들의 무기를 개발하고 개조하는 행위에 있어서도 부지런합니다.”

3줄 요약
1. 인도에서 발견된 멀웨어 두 개, 전부 북한에서 온 듯.
2. ATM디트랙과 디트랙이라고 불리는데, 2013년 다크서울 멀웨어와 비슷.
3. 라자루스는 활동량도 높고, 무기 개발에 있어서도 부지런함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)