Home > 전체기사
트릭봇 운영자들, 북한의 라자루스와 파트너십 맺었나
  |  입력 : 2019-12-12 16:47
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
금전적인 공격만 일삼던 트릭봇 운영자들, APT 단체를 고객으로 두기 시작
라자루스 그룹과의 긴밀한 관계 보여주는 정황 드러나기도...방어는 더 어려워지고


[보안뉴스 문가용 기자] 트릭봇(Trickbot)이라는 뱅킹 봇넷의 운영자들이 자신들이 개발한 공격 도구인 앵커(Anchor)를 APT 단체들에 팔기 시작했다. 앵커는 공격 표적이 된 조직의 네트워크에 침투해 각종 악성 행위를 하게 해주는 고급 사이버 무기다.

[이미지 = iclickart]


보안 업체 센티넬원(SentinelOne)이 이 상황을 주시하고 연구한 바에 의하면 북한의 악명 높은 정부 지원 해킹 부대인 라자루스(Lazarus)가 앵커를 활용해 자신들의 멀웨어를 심기 시작했다고 한다. 라자루스가 사이버 범죄자들의 고객이 된 셈이다.

이 발견은 커다란 의미를 갖는다. 트릭봇은 금전적인 목표를 가진 공격자들이 주로 사용하던 것으로, 정부 지원 해커들과는 거리가 상당히 먼 도구였다. 그런데 APT 단체들이 이들의 고객이 되기 시작했다는 건 일반적인 사이버전 상황과 사이버 범죄 상황의 구분이 한층 더 어려워진다는 뜻이 된다.

센티넬원의 수석 보안 연구원인 비탈리 크레메즈(Vitali Kremez)는 “두 가지 사이버 공격의 유형이 혼합된다는 건 방어 전략을 구축하는 게 크게 어려워질 것이라는 뜻”이라고 설명한다. “사이버 범죄자들과 사이버전 해킹 부대들 모두 점점 더 가치가 높은 표적들을 집중적으로 노린다는 점에서 이해관계가 맞닿은 것 같습니다. 자연스럽게 협업 관계가 생겨나는 현상이라고 봅니다. 따라서 이제는 실력이 낮은 사이버 범죄자들만이 아니라 국가가 집중적으로 키워낸 고급 해커들까지도 걱정해야 합니다.”

트릭봇의 운영은 2016년부터 시작됐다. 운영자들은 그 때부터 트릭봇을 사용해 온라인 은행 계좌로부터 돈을 훔치기 시작했고, 지난 몇 년 동안 거대한 금융 범죄 조직으로 자라났다. 또한 자신들의 공격 도구를 다른 범죄자들에게 대여하는 사업도 시작했다. 그래서 지금 트릭봇은 단순 은행털이용 도구를 넘어, 다양한 악성 행위를 하는 종합 멀웨어가 되었다. 랜섬웨어, 암호화폐 채굴, 트로이목마 공격 등을 아우르고 있다.

운영자들은 심지어 트릭봇으로 침해 성공한 네트워크의 정보들을 잘 정리해 데이터베이스에 저장하고 있기도 하다. 이 데이터베이스는 다른 공격자들에게 유료 서비스로 제공되고 있다. “하지만 이 시점까지는 고객들이 일반 사이버 범죄단이었어요. 정부 지원 해커와는 거리가 먼 부류들이었죠. 하지만 앵커라는 프로젝트를 시작하면서 고객 층이 APT로 확대되었습니다.”

앵커는 트릭봇의 ‘포크’로서 시작된 프로젝트였다. 고가치 표적들만 집중적으로 노리기 위해 만들어진 도구로, APT 그룹들의 관심을 끈 것으로 보인다. “앵커는 일종의 프레임워크입니다. 다양한 도구들로 이뤄져 있죠. 멀웨어 설치기, 삭제 및 청소 도구, 타 공격용 프레임워크 로딩, 침투 후 익스플로잇 등으로 이뤄져 있습니다. 앵커로 로딩이 가능한 다른 프레임워크는 메타스플로잇(Metasploit), 코발트 스트라이크(Cobalt Strike), 파워셸 엠파이어(PowerShell Empire) 등입니다.”

못된 윈윈
라자루스와 같은 단체에 있어 앵커는 매우 유용할 수밖에 없다. 라자루스는 국가의 지원을 받는 해킹 부대이지만 금전적인 목표로 작업을 진행하는 세계의 유일무이한 단체이기 때문이다. 라자루스는 소니(Sony), 방글라데시중앙은행, 여러 암호화폐 거래소를 공격한 것으로 유명하다. 북한 정부의 부족한 국고를 충당하기 위한 활동으로 보인다.

“앵커를 사용한다면 라자루스로서는 보다 적은 노력으로 높은 가치의 표적들을 공격할 수 있게 됩니다. 가치가 높으니 더 많은 돈을 벌 수 있게 될 것이고요. 심지어 앵커를 다른 고객들도 같이 사용한다면 추적에서도 자유로울 수 있습니다.” 크레메즈의 설명이다. “그만큼 수사는 더 어려워지겠죠.”

크레메즈는 “라자루스 그룹과 트릭봇 사이에 파트너십이 있었던 것으로 보인다”고 말한다. “여태까지 저희가 추적해서 알아낸 바 트릭봇 운영자들은 매우 조심스러운 사람들입니다. 확실히 신뢰할 만한 상대가 아니라면 거래는 물론 관계도 맺지 않습니다. 라자루스와 공통의 이득을 추구하기로 약속을 했거나, 서로가 신뢰 관계를 맺기 위해 오래 전부터 접촉해왔을 거라고 봅니다.”

센티넬원은 “APT 그룹만이 문제가 아니”라고 경고를 이어갔다. “라자루스를 위시로 한 APT 단체들만 앵커를 활용하고 있는 게 아닙니다. 여러 사이버 범죄 단체들도 앵커에 관심을 갖기 시작했어요. 특히 PoS 시스템을 노린 앵커 공격이 조금씩 시작되고 있는 분위기입니다. 연말연시를 노린 활동의 일환인 것이죠. 좀 더 종합적인 방어 대책이 필요합니다.”

3줄 요약
1. 트릭봇 운영자들, 앵커라는 새로운 고차원 공격 프로젝트 시작.
2. 앵커에 많은 APT 단체들까지 관심을 보이기 시작.
3. 라자루스와 트릭봇 사이에 긴밀한 파트너십 의심됨.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)