Home > 전체기사
북한의 해커들이 새롭게 만든 정찰용 멀웨어, 뉴크스페드
  |  입력 : 2019-10-25 17:32
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
이전부터 북한 해커들이 사용해온 폴칠이나 홉라이트와 비슷한 점 많고
샘플 대부분이 한국어로 구성...피해자 시스템에 대한 원격 관리 가능케 해


[보안뉴스 문가용 기자] 보안 업체 포티넷(Fortinet)의 전문가들이 뉴크스페드(NukeSped)라는 멀웨어 샘플을 확보해 정밀히 분석했다. 그 결과 북한의 정부 지원을 받는 해커들이 과거에 사용해온 멀웨어들과 상당 부분 닮아있다는 것을 발견할 수 있었다고 한다.

[이미지 = iclickart]


뉴크스페드는 일종의 원격 접근 트로이목마(RAT)로, 북한의 유명 해킹 단체인 라자루스(Lazarus)와 관련이 있는 것으로 보인다. 포티넷이 말하는, 북한 해커들의 멀웨어와 비슷한 점은 다음과 같다.
1) 32비트 시스템용으로 컴파일링 되었다.
2) 분석을 방해하기 위해 암호화 된 문자열을 포함하고 있다.
3) 2017년 5월 4일~2018년 2월 13일 사이에 찍힌 타임스탬프가 존재한다.
4) 언어 ID가 한국어로 설정되어 있다.
5) 기능들 중 재사용된 것들이 많다.
6) 기능들이 로딩되는 순서도 이전 북한 멀웨어와 같다.

뉴크스페드는 동적으로 기능들을 발휘한다. 그렇다는 건 처음에는 소수의 API에만 영향을 주는 것처럼 보이도록 꾸며져 있다는 뜻이다. 하지만 나중에는 임포트 테이블(import table)이 등장하고, DLL과 기능들이 추가로 나타나기도 한다. “뉴크스페드는 API 이름들도 암호화합니다. 정적 분석을 회피하기 위해서입니다.”

공격 지속성을 확보하기 위해 뉴크스페드는 Run 레지스트리 키에 자신을 삽입한다.

뉴크스페드의 가장 주요한 기능은 감염된 호스트에 대한 관리 및 접근 권한을 원격에 있는 공격자에게 부여하는 것이다. 이는 다음 기능들을 통해 가능하게 된다.
1) 다른 사용자의 프로세스를 생성한다.
2) 폴더 내 파일들을 반복적으로 처리한다.
3) 프로세스와 모듈들을 반복적으로 처리한다.
4) 프로세스를 생성하거나 종료시킨다.
5) 파일을 읽거나 쓴다.
6) 설치된 디스크에 대한 정보를 수집한다.
7) 현대의 디렉토리로 접근해 다른 디렉토리로 변경한다.

뉴크스페드는 원격 호스트와도 연결이 가능하다. 그 상태에서 추가 페이로드를 확보해 실행시킬 수 있고, 자기 자신을 포함한 여러 가지 흔적들을 삭제할 수도 있다고 한다.

“이런 여러 가지 특성들을 봤을 때 폴칠(FALLCHILL)이라는 멀웨어가 가장 먼저 떠오릅니다. API를 조금씩 로딩한다는 것과, 머루에어가 만들어진 구조 등 폴칠과의 유사성이 가장 짙습니다. 폴칠은 2016년부터 북한 해커들이 사용해온 것으로 알려진 멀웨어죠. 그러므로 뉴크스페드는 북한 공격자들이 만들어 사용하는 멀웨어일 가능성이 가장 높습니다.”

그 외에도 뉴크스페드에서 암호화 기술이 사용되는 부분 역시 북한의 해커들이 떠오른다고 한다. “암호화 기술이 사용되는 방식과, 관련 파일들의 이름 등은 홉라이트(HOPLIGHT)와 비슷합니다. 홉라이트 역시 북한 해커들이 사용하는 것으로 알려진 멀웨어죠. 게다가 저희가 확보한 뉴크스페드 10개 중 7개가 한국어로 되어 있었습니다. 북한 해커의 작품이라는 데에 의심의 여지가 없다고 봅니다.”

뉴크스페드에 대한 포티넷의 상세한 보고서는 여기(https://www.fortinet.com/blog/threat-research/deep-analysis-nukesped-rat.html)서 열람이 가능하다.

3줄 요약
1. 새롭게 발견된 트로이목마 뉴크스페드, 북한 해커들의 것인 듯.
2. 기존 북한의 멀웨어라고 알려진 폴칠이나 홉라이트와 비슷한 점 많음.
3. 샘플의 70%가 한국어로 되어 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)