Home > 전체기사
북한의 라자루스, 돈 벌기 위해 랜섬웨어 산업에까지 진출
  |  입력 : 2020-07-30 11:21
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
비어가는 국고 채워가기 위해 사이버 공격 기술 활용하는 북한 정부의 도구, 라자루스
최근 VHD라는 자체 제작 랜섬웨어를 들고 새롭게 나타나...기술력은 아직 평이한 수준


[보안뉴스 문가용 기자] 북한 정부의 후원을 받고 있는 것으로 알려진 APT 그룹 라자루스(Lazarus)가 새로운 랜섬웨어를 들고 나타났다. 이 랜섬웨어의 이름은 VHD이며, 이 멀웨어를 분석함으로써 라자루스의 공격 전략이 바뀌고 있음을 알 수 있다고 보안 업체 카스퍼스키(Kaspsersky)가 발표했다.

[이미지 = utoimage]


VHD 랜섬웨어는 지난 3월과 4월, 두 곳의 조직에서 발생한 사이버 공격에서 발견됐다. 프랑스와 아시아 지역에서 발생한 일이었다. 다른 산업군에 속해 있었지만 둘 다 대형 조직들이었다고 한다. 전혀 관련성이 없는 공격인 것처럼 보였지만 두 사건 모두에 VHD가 있었다. 이를 바탕으로 추적을 시작했을 때 라자루스의 흔적으로 보이는 것들이 여러 개 발견되기 시작했으며, 이 때문에 VHD가 라자루스의 신무기라는 결론에 이르렀다고 한다.

VHD는 그 자체로 대단할 것이 없는, 평범한 랜섬웨어라고 카스퍼스키의 수석 연구원인 이반 크위아트코우스키(Ivan Kwiatkowski)는 설명한다. “처음 VHD를 발견했을 때, 랜섬웨어 업계에 처음 진출하려는 새내기가 만든 어설픈 도구라고 생각했을 정도입니다.”

카스퍼스키에 의하면 VHD는 C++로 만들어졌으며, 네트워크에 연결된 모든 디스크들을 넘나들며 파일들을 암호화 시킨다고 한다. 동시에 시스템 볼륨 정보(System Volume Information)라는 폴더들을 삭제시킨다. 이 폴더는 윈도우의 복구 기능과 관련이 있다. VHD는 암호화시켜야 하는 중요한 파일이 프로세스에 걸려 있을까봐 여러 프로세스를 종료시키기도 한다. 여기까지야 일반적인 랜섬웨어들에서도 충분히 발견되는 기능들이다.

하지만 그 다음 특성들은 조금 다르다. “VHD는 랜섬웨어인데 스프레더(spreader) 기능을 가지고 있었고 피해자들의 크리덴셜을 하드코딩하기도 했습니다. 이를 통해 피해자의 네트워크 내에서 스스로 증식할 수 있었으며, 특히 SMB 서비스에 브루트포스 공격을 가함으로써 광범위하게 확산되기도 했습니다. 윈도우 관리 도구(WMI) 호출을 통해 스스로를 실행하는 기능도 발견됐습니다. 일반 범죄자들이 랜섬웨어를 이런 식으로 퍼트리지는 않습니다. 이런 전략은 샤문(Shamoon)이나 올림픽디스트로이어(OlympicDestroyer)와 같은 삭제형 멀웨어를 동반한 APT 공격에서 발견됐었습니다.”

게다가 피해 조직이 적다는 점도 기존 랜섬웨어와 달랐다. 랜섬웨어를 통해 돈을 버는 게 목적이라면 랜섬웨어를 최대한 넓게 퍼트리는 게 당연하다. 하지만 VHD는 피해 조직이 딱 두 군데이며, 샘플도 희귀하다. 심지어 다크웹에서조차 구할 수 없는 상태라고 한다. “이쯤 되면 공격자들이 VHD로 돈을 벌려는 게 아니라는 것까지도 생각할 수 있습니다.” 평범한 랜섬웨어이긴 하지만 전략과 목적성에서 궤를 달리한다는 것이다.

카스퍼스키의 사건 대응 팀이 두 사건을 분석했을 때, “공격자들이 취약한 VPN 게이트웨이를 통해 최초 침투한 것으로 보인다”는 결론에 도달했다고 한다. “거기서부터 관리자 권한을 훔치고, 백도어를 설치했으며, 액티브 디렉토리(AD)를 장악한 것으로 보입니다. 그런 후에 네트워크 내 모든 장비들에 VHD를 배포하기 시작했죠. 이 모든 과정이 10시간 정도 안에 이뤄졌다고 여겨집니다. 즉 공격 과정을 공격자들이 지켜보면서 ‘네트워크를 충분히 장악했다’고 판단한 순간부터 VHD를 사용하기 시작했다는 겁니다.”

여기서 언급된 백도어는 최근 라자루스가 개발한 것으로 보이는 다중 플랫폼 프레임워크, 마타(MATA)의 인스턴스다. 현재까지 마타를 사용한 공격 단체는 라자루스밖에 없다. 때문에 VHD의 배후에 라자루스가 있다는 결론을 내리는 게 어렵지 않았다고 한다. VHD 역시 다른 공격 사례에서 발견된 전적이 없다.

전략의 변화?
이 모든 것이 뜻하는 바는 무엇일까? 크위아트코우스키는 “라자루스가 요 몇 년 동안 금전적인 목적을 가지고 공격을 시행해왔다는 걸 기억해야 한다”고 말한다. “돈을 노리는 APT 단체라는 라자루스의 정체성이 한 번에 바뀌지는 않을 겁니다. 그런 자들이 돈 잘 벌기로 소문난 랜섬웨어 업계로 들어왔다? 자연스러운 일입니다. 하지만 최근 랜섬웨어 산업은 철저히 ‘비즈니스 관계’를 바탕으로 돌아갑니다. 랜섬웨어 개발자 따로, 최초 침투를 이뤄내는 사람 따로, 랜섬웨어를 실제로 활용해 피해를 일으키는 사람 따로죠. 그리고 수익금을 서로 나눠 갖는 게 일반적입니다. VHD처럼 처음부터 끝까지 혼자서 하는 건 좀처럼 보기 힘든 일입니다.”

게다라 라자루스는 백업 드라이브를 찾는다든지, 금융 상태와 관련된 정보를 습득해 적절한 협상 금액을 제시한다든지, 돈을 내지 않는다면 정보를 유출시킨다고 협박한다든지 하는 일반적인 랜섬웨어 공격의 수순도 밟지 않고 있다. 크위아트코우스키는 “금전적 수익이 최종 목표인 것은 분명해 보이는데, 비효율적인 방법론을 택했다는 것이 의아하다”며 “어쩌면 나름의 다른 수익 구조를 만들려고 시험하는 것일 수 있다”고 말한다.

“아마 랜섬웨어 공격에 필요한 모든 것을 혼자 진행할 경우 수익금을 나눌 필요가 없어지니까 효율적이라고 판단한 것이 아닐까요? 꽤나 단순하게 랜섬웨어 생태계를 분석한 것으로 보입니다. 물론 이는 추정에 불과하고, 좀 더 추이를 지켜봐야 조금 더 라자루스의 의도를 명확하게 알 수 있을 것으로 보입니다.”

3줄 요약
1. 라자루스도 이제 랜섬웨어 사업에 뛰어든 것으로 보임.
2. 아직 랜섬웨어 자체는 평이함. 시장에 반하는 전략을 선보이고 있음.
3. 현재까지 피해 입은 곳은 두 군데. 랜섬웨어의 이름은 VHD.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)