Home > 전체기사
북한의 라자루스, 암호화폐 거래소 터는 실력 늘어났다
  |  입력 : 2020-01-10 11:35
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
맥OS용 멀웨어 제작 기술, 오픈소스 짜집기하던 수준에서 크게 벗어나
감염 절차도 바뀌어...라자루스가 한동안 금전적인 공격 할 거라는 뜻


[보안뉴스 문가용 기자] 지난 1년 반 동안 북한 정부의 지원을 받는 해킹 그룹인 라자루스(Lazarus)가 지속적으로 암호화폐 거래소를 공격해왔다는 사실이 보안 업체 카스퍼스키에 의해 밝혀졌다. 심지어 공격을 위한 멀웨어와 전략에 상당한 발전이 있다고도 한다. 라자루스는 2017년 워너크라이(WannaCry) 사태의 배후 세력이라고 여겨지고 있기도 하다.

[이미지 = iclickart]


라자루스는 2018년 후반기부터 은행과 암호화폐 거래소를 집중적으로 공략하기 시작했다. 이들이 벌인 ‘애플제우스(AppleJeus) 작전’에서는 라자루스로서는 처음으로 맥OS 멀웨어를 사용하는 모습이 나타나기도 했다.

2019년에도 네 가지 새로운 멀웨어 패밀리들을 들고 나왔다.
1) 요트(Yort) 백도어 : 암호화폐 관련 사업체들 공격
2) 지메라(GMERA) 트로이목마
3) 이름이 아직 정해지지 않은 백도어
4) 라자루스 로더(Lazarus Loader) 혹은 맥로더(macloader) : 1단계 임플란트

카스퍼스키에 의하면 “라자루스는 애플제우스와 비슷한 공격을 지금도 계속해서 펼치고 있는 중”이라고 한다. “처음 라자루스는 공개된 소스코드를 조합하고 짜집기 해서 맥OS용 인스톨러를 여러 개 개발했고, 그래서 비슷한 스크립트와 같은 명령행 아규먼트가 활용되었습니다. 하지만 2019년 12월 처음 개발된 인스톨러의 경우 맥OS 멀웨어 개발 실력이 상당히 향상되었음을 보여주었습니다.” 그 향상된 실력을 증명하는 게 바로 라자루스 로더 혹은 맥로더다.

“그 외에 깃허브(GitHub)에 멀웨어를 호스팅하기도 하고, QT 프레임워크 대신 오브젝트C(Object-C)를 활용하기도 했습니다. 맥OS용 실행 파일에는 간단한 백도어 기능이 추가되기도 했고, 윈도우용 버전에서는 ADVobfuscator가 활용됐습니다. 하지만 그 무엇보다 맥OS 멀웨어에 있는 설치 후 스크립트(post-install script)가 가장 달라졌습니다.” 카스퍼스키의 설명이다.

또한 최근 라자루스는 맥OS를 겨냥한 공격에서 유니온크립토크레이더(UnionCryptoTrader)라는 악성 애플리케이션을 사용하기도 했다. “유니온크립토트레이더의 경우 윈도우 버전이 발견되기도 했습니다. 윈도우 버전은 텔레그램 메신저의 다운로드 폴더에서 실행이 되고 있었습니다.” 여기서부터 추적을 시작한 카스퍼스키는 라자루스가 만든 가짜 웹사이트에서 텔레그램 그룹을 발견하는 데 성공했다. “즉, 이들이 텔레그램 메신저를 통해 페이로드를 활발히 전파하고 있다는 걸 알 수 있습니다.”

윈도우 버전의 유니온크립토트레이더의 경우 다양한 암호화폐 거래소에서 제시하는 가격표도 포함하고 있었다. 맥OS 버전에도 비슷한 기능이 업데이트를 통해 추가되었으며, 로더로서 작동하기도 한다. “로더로서 작용한다는 건, 시스템에 대한 기본적인 정보를 수집해 공격자에게 정송하며, 이를 바탕으로 최종 페이로드를 메모리에 로딩시킨다는 겁니다.”

최종 페이로드는 공격자가 수동을 주입한다는 특징을 가지고 있다. “특정 시스템에서만 돌아가도록 설계가 되어 있기 때문입니다. 시스템 정보를 검토해서 여러 가지 조건이 맞아떨어지면 추가 공격을 시도한다는 것이죠. 라자루스가 최종 페이로드를 실행하는 데 있어 상당히 조심스럽다는 걸 알 수 있습니다.”

라자루스는 가짜 암호화폐 거래소 웹사이트를 만들어 공격에 활용하기도 했다. 하지만 이 사이트들 중 그럴 듯하게 기능을 하는 곳은 거의 없었다고 한다. “저희가 발견한 가짜 사이트들은 거의 죽은 상태였어요. 대신 텔레그램 그룹은 활성화되어 있었죠. 이 그룹은 2018년 12월 17일에 개설되었습니다. 당시 활동했던 계정들 중 일부는 현재 삭제된 상태입니다.”

라자루스의 공격에 영국, 폴란드, 러시아, 중국의 여러 조직들이 피해를 입었고, 이중에는 암호화폐 관련 사업체들이 꽤나 있다고 한다.

“라자루스의 맥OS 및 윈도우용 멀웨어는 최근에 정말 크게 향상되었습니다. 개발 프레임워크 자체가 바뀌었고, 맥OS 다운로더의 경우에는 인증 시스템도 추가가 되었을 정도입니다. 최종 페이로드를 심는 일련의 과정들돠 이전에 비해 달라졌고요. 라자루스가 금전적인 공격을 한다는 게 유명해지고, 금융 업계의 경계가 심해지니 이들도 공격 방법과 도구를 업그레이드시키고 있습니다. 그렇다는 건 라자루스가 앞으로도 계속해서 금융 업계와 암호화폐 거래소들을 노릴 것이라는 뜻입니다.” 카스퍼스키의 결론이다.

3줄 요약
1. 라자루스, 지금도 계속해서 암호화폐 거래소와 사업체 노리고 있음.
2. 최근 맥OS용 멀웨어가 특히 크게 향상이 됨.
3. 최종 페이로드 심는 방법과 전략도 바뀜. 이들의 강력한 의지 나타냄.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)