Home > 전체기사

북한의 라자루스, BMP 파일에 악성 요소 숨겨 한국 공격 중

  |  입력 : 2021-04-20 15:50
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
라자루스가 전략 전술을 한 단계 또 발전시켰다. 이번엔 BMP 파일에 악성 요소를 숨긴 후 두 번째 악성 문건을 배포하는 방식이다. 꽤나 영리하게 탐지 기술들을 회피할 수 있게 해 주는 방식이라고 한다.

[보안뉴스 문가용 기자] 보안 업체 멀웨어바이츠(Malwarebytes)가 북한의 해킹 그룹인 라자루스(Lazarus)의 새로운 전략을 발견해 공유했다. 멀웨어바이츠의 주장에 의하면 북한의 해커들은 피해자 시스템에 설치된 보안 솔루션들을 피해 멀웨어를 설치하기 위해 BMP 파일을 활용한다고 한다.

[이미지 = utoimage]


라자루스 그룹은 북한 정권을 위해 활발히 활동하는 고급 해킹 단체로, 최근 몇 년 동안은 금융 기관 및 조직들을 주로 노리며 금전적 목적을 성취하기 위해 움직여 왔다. 북한에 대한 국제 제재에 맞서기 위한 북한의 방식이었다. 그러나 얼마 전부터 라자루스는 여러 국가들의 국방 기밀을 노리는 공격도 진행하기 시작했다. 라자루스는 독자적으로 멀웨어를 개발할 능력도 가지고 있는 것으로 알려져 있다.

이번에 멀웨어바이츠가 공개한 라자루스의 새로운 공격 기법은 다음과 같다.
1) 악성 HTML 애플리케이션(HTA) 파일을 압축된 zlib 파일에 임베드 한다.
2) 이 zlib 파일을 PNG 파일에 심는다.
3) 런타임이 진행되는 동안 PNG 파일이 BMP 파일로 전환된다.
4) BMP 파일은 압축이 되지 않는 형태로 유지되기 때문에 PNG를 BMP로 바꿀 경우 악성 zlib 객체가 자동으로 압축해제 된다.

멀웨어바이츠는 “탐지 기법을 피할 수 있게 해 주는 대단히 영리한 방법”이라고 이 전략을 평했다. PNG 이미지 내에서 악성 객체가 압축해제될 경우 정적 탐지가 발동되지 않기 때문이다.

이 기법은 피싱 공격에서부터 시작하는 것으로 분석되고 있다. 악성 파일을 첨부한 이메일이 피해자의 메일함으로 날아드는 것에서부터 일이 시작되는 것이 보통이라는 것이다. 멀웨어바이츠가 설명한 공격 시나리오는 다음과 같다.
1) 악성 BMP 파일이 첨부된 메일을 보낸다.
2) 피해자가 이 파일을 연다.
3) 매크로를 활성화 하라는 창이 뜬다.
4) ‘확인’을 누르면 최종 피싱용 미끼가 로딩된다.
5) 이 최종 미끼는 한국의 한 도시에서 열리는 커다란 행사의 참가 양식이다.(“거제시 아주동 수제어묵 품평회”)
6) 참가 양식 문서에도 악성 매크로가 임베드 되어 있다.

공격의 많은 부분들이 라자루스의 과거 활동들과 겹친다며 멀웨어바이츠는 “북한의 소행이라는 것에 꽤나 큰 확신을 가지고 있다”고 주장했다. 그 이유는 다음과 같다.
1) 두 번째 페이로드에 적용된 암호화 기술이 과거 라자루스가 사용한 것과 유사하다.
2) 두 번째 페이로드의 소스코드가 과거 라자루스가 사용했던 다른 멀웨어와 겹친다.
3) 공격의 표적이 한국 사람이다(피싱 문서가 한글로 작성되어 있다).

라자루스는 이번 공격을 통해 특정 정보를 캐내려 한 것으로 보인다. 금전적인 피해를 일으키기 위한 목적성은 아직까지 눈에 띄지 않고 있다.

3줄 요약
1. 라자루스, BMP 활용해 탐지 회피하는 기술 선보임.
2. 거제시의 한 품평회 행사 신청서를 미끼로 한 악성 공격으로 이어짐.
3. 금전적 이득 위한 공격을 주로 하던 라자루스, 최근 정보 탈취로 방향 틀었나.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)