세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
라자루스, 암호화폐 탈취 위해 맥OS 노린 신종 멀웨어 제작
  |  입력 : 2018-08-24 10:20
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
신종 멀웨어 ‘애플제우스’, 윈도우와 맥OS 둘 다 겨냥해 제작
암호화폐 거래소 직원이 서드파티 앱 다운로드 받은 게 발단
코드 중 업데이트 컴포넌트만 달라... ‘폴칠’ 트로이목마 설치


[보안뉴스 오다인 기자] 북한이 배후로 추정되는 라자루스 그룹(Lazarus group)이 암호화폐 거래소를 겨냥해 새로운 공격을 펼치고 있다고 카스퍼스키랩이 24일 밝혔다. 이른바 ‘애플제우스(AppleJeus)’는 윈도우와 맥OS 둘 다를 겨냥해 설계된 것으로 드러났다. 라자루스가 맥OS를 겨냥한 멀웨어를 제작한 건 이번이 처음이다.

[이미지=iclickart]


라자루스는 트로이목마로 제작된 암호화폐 거래 소프트웨어를 활용해 아시아 지역 암호화폐 거래소 한 곳의 네트워크에 침투했다. 윈도우 기반 멀웨어를 비롯해, 맥OS 플랫폼을 겨냥한 신종 멀웨어를 제작해 감행한 공격이었다. 공격 목표는 암호화폐를 빼내는 것이었다고 연구진은 설명했다.

카스퍼스키랩은 라자루스가 맥OS 이용자를 대상으로 멀웨어를 전파시킨 건 이번이 처음이라고 강조했다. 맥OS를 활용해 암호화폐와 관련된 활동을 하는 이용자라면 모두 주의해야 한다.

카스퍼스키랩 분석에 따르면, 암호화폐 거래소 직원 한 명이 암호화폐 거래 소프트웨어 개발사 웹사이트에서 서드파티 애플리케이션을 다운로드 받은 것이 발단이 됐다. 정당한 웹사이트처럼 보였으나 사실은 공격자가 꾸며놓은 가짜 웹사이트였던 것.

해당 애플리케이션의 코드는 전반적으로 큰 의심을 사지 않았으나, 업데이트 컴포넌트 하나가 달랐다고 연구진은 설명했다. 정당한 소프트웨어의 경우, 업데이트 컴포넌트는 새 버전의 프로그램을 다운로드 받는 데 쓰인다. 그러나 애플제우스의 업데이트 컴포넌트는 정찰 모듈처럼 움직였다.

애플제우스의 업데이트 컴포넌트는 이 애플리케이션이 설치된 컴퓨터의 기본 정보를 수집한 뒤, 해당 정보를 명령 및 제어(C&C) 서버로 보냈다. 감염 컴퓨터가 공격할 만한 가치가 있다고 판단되면, 공격자는 소프트웨어 업데이트의 형태로 악성코드를 컴퓨터에 다시 보냈다. 악성코드로 업데이트가 진행되면, ‘폴칠(Fallchill)’이라고 알려진 트로이목마가 설치됐다.

폴칠은 오래된 멀웨어로, 라자루스가 최근 다시 쓰기 시작한 툴이다. 카스퍼스키랩은 이 같은 배경에서 애플제우스의 배후를 라자루스로 지목할 수 있었다고 밝혔다. 폴칠이 설치되면 공격자는 감염 컴퓨터에 사실상 무제한적인 접근할 수 있다. 금융정보를 빼돌리거나 이를 위해 추가적인 툴을 설치하는 것까지 가능하다고 연구진은 덧붙였다.

비탈리 캄룩(Vitaly Kamluk) 카스퍼스키랩 연구원은 “라자루스는 2017년 초부터 암호화폐 시장에 큰 관심을 보이기 시작했다”며, “윈도우 이용자뿐만 아니라 맥OS 이용자를 겨냥한 멀웨어를 개발하고 이를 전파하기 위해 가짜 소프트웨어 회사와 제품까지 만들었다는 건 그만큼 큰 이윤을 바라보고 있다는 사실을 의미한다”고 말했다.
[오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)