북한의 라자루스, 새로운 멀웨어 들고 나타나 인도 지역 공격

입력 : 2018-01-25 13:58

북한이 암호화폐 노리고 사이버 공격 행위 일삼는 것 다시 한 번 확인
왜 인도 지역일까? 사이버 스파이 행위 겸하거나 본격적 공격 전 연습일 것

[보안뉴스 문가용 기자] 북한이 전 세계 은행들을 공격하기 위해 사용해왔던 라탕크바(Ratankba) 다운로더 트로이목마가 개조되었다. 이번에 나타난 변종은 파워셸을 기반으로 하고 있으며, 은행이 아니라 소규모 금융 조직 혹은 비금융 단체나 개인을 공격한다. 목적은 암호화폐다. 보안 업체 트렌드 마이크로(Trend Micro)가 발표한 사실이다.


트렌드 마이크로의 보안 전문가 CH 레이(CH Lei), 표도르 야로슈킨(Fyodor Yarochkin), 레나트 베르메조(Lenart Bermejo), 필립 Z 린(Philippe Z. Lin), 레이저 황(Razor Huang)은 북한과 연관되어 있는 APT 그룹인 라자루스(Lazarus)를 추적했고, 그 결과 2017년 6월부터 새로운 버전의 라탕크바를 활용해 암호화폐를 훔쳐온 사실을 발견해냈다.

라탕크바 멀웨어와 라자루스의 상관관계에 대해서는 2017년 12월 보안 업체 프루프포인트(Proofpoint)가 발표했었고, 그 내용은 본지가 보도(http://www.boannews.com/media/view.asp?idx=58746&kind=1)한 바 있다. 이번 트렌드 마이크로의 보고서 내용도 크게 다르지 않다. 당시 프루프포인트는 “라자루스 그룹이 라탕크바가 노출됨에 따라 사용할 수 없게 되자 새로운 툴인 파워라탕크바(PowerRatankba)라는 툴을 개발해 사용하고 있다”고 발표했었다.

프루프포인트의 당시 보고서에는 “공격자들은 피싱 이메일을 보내 악성 문건을 다운로드 받게 유혹하거나 가짜 웹 페이지로 끌어들여 암호화폐 관련 멀웨어를 설치한다”고 나와 있는데, 이 역시 트렌드 마이크로의 이번 보고서와 동일하다. 두 보안 전문 업체가 따로따로 조사를 진행한 결과 같은 결론에 도달했다는 것이다. 또한 그 과정에서 ‘스파이 행위’가 수반된다는 것 역시 두 보고서가 동일하게 지적하고 있는 부분이다.

트렌드 마이크로는 라자루스가 사용하던 서버들을 분석해 피해자의 55%가 인도나 근접 국가에 있음을 추가로 밝혀냈다. 이는 그 지역에 대한 라자루스의 정찰활동이 심화되고 있다는 뜻이거나 아직 본격적인 공격을 실시하기 전 단계에 있다는 뜻이라고 트렌드 마이크로는 분석한다. “진짜 표적을 공격하기 전에 연습 삼아 비슷한 대상을 공격하는 건 사이버 공격자들 사이에서 흔히 나타나는 패턴입니다.”

실제로 트렌드 마이크로의 보고서에 의하면 인도인 피해자들 중 일부는 웹 소프트웨어 개발사에 근무하는 개인인데, 대한민국에서도 웹 소프트웨어 회사에 근무하는 사람을 공격했다고 트렌드 마이크로는 예시를 들었다. 피해자 중 5%만이 마이크로소프트 윈도우 엔터프라이즈 버전을 사용하고 있었는데, 이에 대해서 트렌드 마이크로는 “대기업이 공격 표적이 아니라는 뜻”으로 해석한다. 피해자에 관해서 프루프포인트는 “암호화폐 관련 조직의 임원에 대한 표적 공격이 노골적으로 증가했다”고 보고서에 적었다.

북한 정부는 세계적인 경제 제재 때문에 심각한 국고 위기를 겪고 있다고 알려져 있다. 그래서 대한민국의 암호화폐 생태계를 꾸준히 공격해온 것으로 강력하게 의심받고 있다. 그런 ‘의혹’에 트렌드 마이크로가 이번 보고서로 무게를 실은 것이고, 인도 지역의 개인과 소규모 단체를 노리고 있다는 사실이 추가로 공개됐다.

파워라탕크바 멀웨어에 대한 상세한 기술 분석 보고서는 트렌드 마이크로(https://blog.trendmicro.com/trendlabs-security-intelligence/lazarus-campaign-targeting-cryptocurrencies-reveals-remote-controller-tool-evolved-ratankba/)와 프루프포인트(https://www.proofpoint.com/sites/default/files/pfpt-us-wp-north-korea-bitten-by-bitcoin-bug.pdf)에서 열람 및 다운로드가 가능하다(영문).
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  업무 관련 메일로 위장해 유포 중인 악성코드...

• 2

  최고의 ‘보안 강연자’를 선발하다... IS...

• 3

  개인정보 유출 사고 대응방안 논의... 공공...

• 4

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 5

  배블로더, 그리 획기적이지 않은 기술을 매우...

• 1

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 2

  악명 높은 봇넷 엔지오웹, 각종 범죄 인프라...

• 3

  [정보세계정치학회 칼럼] 데이터·공급망 안보...

• 4

  북한 IT노동자, 가짜 이력서로 서방국 취업...

• 5

  연말시즌, 해커도 성수기... 해커들이 만든...

• 1

  580억원 상당의 가상자산 탈취사건, 북한 ...

• 2

  개인정보 유출 사고 대응방안 논의... 공공...

• 3

  인류를 위한 인공지능 거버넌스, 어떤 제안 ...

• 4

  깃허브에서 활동하는 개발자들을 노리는 고급 ...

• 5

  [단독] 한국지능정보사회진흥원, 관리자계정 ...