보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

북한의 해킹 그룹 블루노로프, 새 맥OS 멀웨어 들고 나타나

입력 : 2023-11-09 01:41
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
북한 라자루스의 하위 그룹인 블루노로프가 새로운 멀웨어를 사용하기 시작했다. 그런데 그 멀웨어나, 그 멀웨어를 활용하는 방식이나 뚜렷한 특장점이 없다. 그런데도 잘 통한다.

[보안뉴스 문가용 기자] 북한 정부의 지원을 받는 해커들이 새로운 맥용 멀웨어를 들고 나타난 것으로 보인다. 그리고 이 새 멀웨어를 가지고 미국과 일본을 주로 공격하고 있는 것으로 분석되고 있다. 공격 특성상 공격의 성공률이 낮을 것 같은데 낮지 않다고 전문가들은 말한다.

[이미지 = gettyimagesbank]


여기서 말하는 해킹 단체는 블루노로프(BlueNoroff)다. 악명 높은 북한의 APT 단체인 라자루스(Lazarus)의 하위 조직으로 알려져 있는 해커들로, 주로 김정은 정권의 자금을 대는 역할을 하고 있다. 그렇기에 이들의 표적은 주로 은행이나 벤처캐피탈, 암호화폐 거래소 등이다. 이런 금융 단체를 이용하는 고객들 역시 블루노로프의 주된 표적이 된다.

보안 업체 잼프(Jamf)의 연구원들은 올해 초부터 블루노로프가 배후에 있는 악성 캠페인인 러스트버킷(RustBucket)을 추적해 왔다. 러스트버킷의 특징은 맥OS 장비들을 주요 표적으로 삼는다는 것이다. 잼프는 이번 주 화요일 자사 블로그를 통해 러스트버킷에 대한 새로운 사실을 밝혀냈다고 알렸는데, 블루노로프가 암호화폐 거래소인 것처럼 보이도록 새 악성 도메인을 만들어, 리버스셸의 일종이자 처음 발견된 멀웨어인 오브젝셸즈(ObjCShellz)를 퍼트리고 있다는 내용이었다.

“지난 수개월 동안 블루노로프는 여러 가지 활동을 해 왔습니다. 그래서 저희만이 아니라 다른 여러 보안 기업들도 이들을 눈여겨보고 추적했습니다.” 잼프의 위협 연구실장인 자론 브래들리(Jaron Bradley)의 설명이다. “그러한 활동 중에 새로운 도메인과 새로운 멀웨어를 만들어 낸 것도 눈에 띄지만, 너무나 허술해 보이는 공격 전략을 가지고 목적을 이뤄낸다는 사실이 더 경악스러웠습니다.”

맥OS에 관심이 많은 북한 해커들
오브젝셸즈라는 새 멀웨어의 특징 중 하나는 swissborg.blog라는 도메인과 연결되어 있다는 것이다. 암호화폐 거래소 중 스위스보그(SwissBorg)라는 곳이 있는데, 이 업체가 사용하는 원래 사이트 주소 중 하나가 swissborg.com/blog이다. 북한 공격자들이 의도적으로 이 스위스보그로 위장해 있다는 걸 알 수 있다.

“블루노로프의 흔한 전략 중 하나입니다. 러스트버킷 캠페인을 진행하는 동안 여러 번의 소셜엔지니어링 공격을 실시했는데, 대부분 이런 식이었습니다. 헤드헌터나 투자자 등으로 위장하는 수법을 꾸준히 활용했습니다. 뿐만 아니라 정상적인 금융 조직들의 웹사이트를 흉내 낸 주소로 도메인을 등록해 C&C 서버로 활용하기도 했고요. 그렇게 함으로써 피해자들에게 많은 혼선을 불러일으켰습니다.”

이런 속임수들을 통해 최초 접근에 성공한 이후 블루노로프 공격자들은 맥OS 멀웨어를 사용하기 시작했다. “블루노로프가 언젠가부터 맥OS를 사용하는 사람들을 집중적으로 노리기 시작했습니다. 보다 정확히 말하면 맥OS를 사용하면서 암호화폐를 보유하고 있는 사람들이죠. 표적 공격이 아니라 대량 살포식 공격 방식을 활용합니다. 걸리면 좋고 안 걸리면 그만이라는, 대단히 엉성한 전략이죠.”

블루노로프가 늘 이랬던 건 아니었다. “특정 OS 생태계만을 공략한다? 블루노로프가 이런 부류는 절대 아니었습니다. 다른 OS들도 골고루 공략했었죠. 아마 최근 많은 사용자들이 윈도와 맥OS를 모두 사용하는 추세이니 공격 표적을 확장한 것이 아닐까 합니다. 윈도나 리눅스 등을 아무리 잘 공략하더라도 맥OS의 사용자 비중을 무시할 수 없게 된 것이죠. 어떻게 해서든 한 푼이라도 많은 돈을 모아야 하는 입장이기도 하고요.”

옵젝셸즈라는 멀웨어가 대단히 고급스러운 것도 아니라고 한다. “오히려 단순한 편에 속합니다. 애플 컴퓨터에서 실행되는 리버스셸일 뿐입니다. 공격자의 서버와 연결된 상태에서 명령을 받아 실행하는 것입니다. 공격자들은 여러 단계로 나눠 공격을 실시하고 있는데, 옵젝셸즈는 후반부에 사용되는 것으로 보입니다.”

브래들리는 맥OS를 사용하고 있는 암호화폐 투자자들이라면 “암호화폐 관리를 보다 철저히 해야 할 필요가 있다”고 강조한다. “맥OS 생태계는 윈도 생태계보다 훨씬 안전하므로 암호화폐를 맥OS에서 거래하는 게 안전하다고 믿는 사용자들이 많은 것으로 보입니다. 최근까지 맥OS에서 사고가 덜 난 것은 사실입니다만 그렇다고 맥OS가 윈도보다 안전한 OS인 건 아닙니다. 해커들이 마음 먹고 노린다면 어떤 OS도 뚫릴 수밖에 없습니다.”

3줄 요약
1. 금전적 목적 달성을 위해 일하는 북한의 해킹 그룹 블루노로프.
2. 그 블루노로프가 최근 맥OS 생태계에 멀웨어를 퍼트리기 시작.
3. 전략이나 멀웨어나 기초적인데 맥OS에 대한 무조건적인 믿음 때문에 꽤나 공격이 잘 먹힘.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)