Home > 전체기사
미국 사이버 사령부, 라자루스의 멀웨어 샘플 6개 공개
  |  입력 : 2020-02-18 08:45
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
2018년부터 시작한 국가 보안 강화 프로젝트의 일환으로 멀웨어 샘플 공개
총 6개의 샘플이 공개되고 분석돼...대부분 원격 정보 수집 및 접근 가능케 해줘


[보안뉴스 문가용 기자] 미국의 사이버 사령부(USCYBERCOM)가 바이러스토탈(VirusTotal)에 새로운 멀웨어 샘플을 업로드 했다. 사령부 측은 이 샘플이 북한의 해킹 단체인 라자루스(Lazarus)의 것이라고 소개했다.

[이미지 = iclickart]


미국 사이버 사령부는 2018년 11월부터 ‘사이버 국가 임무군(Cyber National Mission Force, CNMF)’이라는 프로그램을 진행 중이다. 북한, 러시아, 이란의 해커들이 사용하는 악성 파일들을 공유함으로써 국가의 방어력을 높인다는 게 이 프로그램의 취지다. 지난 9월에는 이 프로그램의 일환으로 북한 라자루스의 멀웨어 샘플 11개를 공개하기도 했다.

이번에 공개한 라자루스의 멀웨어 샘플은 총 6개로, 2개는 2019년 여름에, 2개는 2018년 2월에, 1개는 2017년 9월에, 나머지 1개는 2016년 10월에 만들어진 것으로 보인다. 사이버 사령부는 이 멀웨어들이 현재도 피싱 및 원격 접근 공격에 활용되고 있고, 라자루스는 이를 활용해 각종 불법 행위를 일삼고 있다고 설명했다.

여섯 개 샘플은 다음과 같다.
1) 아트풀파이(ARTFULPIE) : 하드코드 된 URL로부터 DLL 파일을 가져오는 기능을 수행하는 임플란트다. DLL 파일은 메모리에서 로딩 및 실행된다.
2) 핫크로아상(HOTCROISSANT) : 시스템에 침투해 핑거프린팅, 파일 업로드 및 다운로드, 프로세스 및 명령 실행, 스크린샷 캡쳐 등의 기능을 실행한다.

3) 크라우디드플라운더(CROWDEDFLOUNDER) : 원격 접근 트로이목마(RAT) 바이너리를 압축 해제한 후 메모리에서 실행시키며, 프록시로서의 기능을 발휘해 명령을 실행한다.
4) 슬릭슈즈(SLICKSHOES) : 시스템 정보 수집, 파일 업로드 및 다운로드, 명령 실행, 스크린샷 캡쳐 등의 기능을 실행한다.

5) 비스트로매스(BISTROMATH) : 원격 접근 트로이목마로, 시스템 정보 수집, 파일 업로드 및 다운로드, 명령 실행, 마이크로폰 모니터링, 클립보드 모니터링, 화면 모니터링 등의 기능을 실행한다.
6) 부페라인(BUFFETLINE) : 파일 다운로드, 업로드, 삭제, 실행을 할 수 있으며, 프로세스를 만들거나 삭제하는 것도 가능하다. 윈도우 CLI에 대한 접근도 가능하게 만든다.

미국 국토안보부 산하 사이버 보안 담당 기관인 CISA는 위 여섯 개 샘플에 대한 상세 분석 보고서를 발표하고, 거기에 더해 이전에 발표됐던 원격 접근 트로이목마인 홉라이트(HOPLIGHT)에 대한 내용을 업데이트 했다. 홉라이트는 일부 백신 및 안티 멀웨어 엔진에서 뉴크스페드(NukeSped)라는 이름으로 탐지되기도 한다.

바이러스토탈에 미국 사이버 사령부가 올린 내용은 여기(https://www.virustotal.com/gui/user/CYBERCOM_Malware_Alert/)서 열람이 가능하고, CISA가 발표한 멀웨어 분석 보고서는 여기(https://www.us-cert.gov/ncas/analysis-reports)서 열람이 가능하다.

3줄 요약
1. 2018년 말부터 멀웨어 샘플을 민간 부문과 공유하는 미국 사이버 사령부.
2. 최근 북한 라자루스의 무기로 보이는 멀웨어 샘플 6개를 바이러스토탈에 업로드.
3. CISA는 여기에 맞춰 각 멀웨어에 대한 분석 보고서를 함께 발표.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)