맥용 RAT 다클스, 라자루스가 새롭게 갖춘 사이버 무기?

입력 : 2020-05-07 11:55

지난 해 발견된 리눅스와 윈도우용 RAT...최근 맥 시스템 겨냥한 변종 출현
RAT로서는 모든 기능 갖춰...북한 라자루스와의 연관성 언급되었으나 근거가 부실

[보안뉴스 문가용 기자] 북한의 사이버 공격 그룹인 라자루스(Lazarus)가 새로운 무기를 사용하기 시작했다. 다클스(Dacls)라는 이름을 가진 원격 접근 트로이목마의 새로운 변종이며, 현재 맥 시스템을 공격하는 데에 활용되고 있다고 한다.


다클스가 처음 발견된 건 작년 12월이다. 당시에는 윈도우와 리눅스 플랫폼을 공격하고 있었다. 곧 이어 맥 시스템을 공격하는 게 가능한 변종이 등장했다. 이 변종은 맥OS에서 사용되는 이중인증 애플리케이션인 미나OTP(MinaOTP)를 통해 퍼졌다. 물론 정식 미나OTP가 아니라 공격자들이 악의적으로 조작한 가짜 미나OTP였다. 주로 중국인들 사이에서 인기가 높은 앱이었다고 한다.

다클스는 원격 접근 트로이목마(RAT)가 갖춰야 할 모든 기능을 가지고 있는 멀웨어라고 이번 라자루스 관련 보고서를 발표한 보안 업체 멀웨어바이츠(Malwarebytes)가 설명한다. “멀웨어는 Contents/Resources/Base.lproj/라는 디렉토리 안에 실행파일 형태로 저장됩니다. 가짜 미나OTP 애플리케이션 파일로 보이도록 꾸며져 있습니다. 실행되면 성질 목록(plist) 파일을 생성합니다. 이 파일 내에는 리부트 이후 실행되어야 할 애플리케이션들이 지정되어 있습니다. 이 덕분에 공격의 지속성이 확보되는 것입니다.”

그 외에 이 파일에는 환경설정 파일도 포함되어 있는데, AES 알고리즘으로 암호화 되어 있으며, 애플 스토어(Apple Store)와 관련이 있는 데이터베이스 파일인 것처럼(Library/Caches/Com.apple.appstore.db) 위장되어 있다고 한다. IntializeConfiguration라는 함수가 이 설정 파일을 발동시키며 C&C 서버들의 목록을 주입시킨다. 라자루스는 이 C&C 서버들을 통해 환경설정 파일을 업데이트한다고 멀웨어바이츠는 보고서를 통해 설명한다.

여기까지 진행되었다면 이제 다클은 공격 지속성도 확보하고, C&C와도 연결된 상태다. 그때부터 다클은 피해자의 시스템으로부터 정보를 수집하고, 수집된 것을 RC4로 암호화시킨 후 SSL을 통해 C&C로 전송하기 시작한다. 이 때 사용되는 명령어 코드들은 이전에 발견된 리눅스 공격용 버전과 정확히 일치한다고 한다.

정보를 전송하는 것 외에 일곱 가지 모듈을 로딩하기도 한다. 이 중 여섯 개 역시 이전 리눅서 버전과 동일하다. 나머지 하나는 SOCKS라는 이름을 가진 플러그인인데, 피해자의 네트워크 트래픽을 C&C 서버로 프록시시키는 데 사용된다. 모듈들 모두 각자의 고유한 기능을 가지고 있으며, 환경설정 파일과 연결되어 있다.

이 모듈들에 대해 요약하자면 다음과 같다.
1) CMD : C&C 서버로부터 명령을 받아 실행한다.
2) File : 디렉토리 내 파일들을 검색해 읽고, 삭제하고, 다운로드 한다. 리눅스 버전은 쓰기도 가능하지만 맥 버전은 그렇지 않다.
3) Process : 프로세스 ID 등 프로세스 관련 정보를 수집하고, 프로세스를 실행시키거나 종료시킨다.
4) Test : 특정 IP 주소나 포트로의 연결 상태를 확인한다.
5) RP2P : 프록시 서버를 설정한다.
6) LogSend : 로그 서버의 연결을 확인하고, 웜을 스캔하고, 시스템 명령을 실행한다.

한편 멀웨어바이츠는 이 새로운 다클스 변종이 라자루스와 어떤 식으로 연관성을 갖고 있는지는 구체적으로 밝히지 않고 있다. 다클스를 공개한 블로그 게시글(https://blog.malwarebytes.com/threat-analysis/2020/05/new-mac-variant-of-lazarus-dacls-rat-distributed-via-trojanized-2fa-app/)의 서두에 라자루스가 이 다클스를 사용하고 있다고 언급했을 뿐이다. 이 부분에 대해서는 별도의 설명이 있을 것으로 보인다.

3줄 요약
1. 지난 해 발견된 RAT인 다클스, 맥용 버전이 새롭게 발견됨.
2. 이를 발견한 보안 업체는 라자루스와 관련성이 있다고 언급했지만 근거를 밝히지 않고 있음.
3. 다클스는 RAT로서 필요한 거의 모든 기능을 갖추고 있어서 경계해야 할 위협임.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  배블로더, 그리 획기적이지 않은 기술을 매우...

• 2

  최근 페이스북에서 유행하는 멀버타이징 캠페인...

• 3

  [긴급] 국세청 등 정부 사칭 미끼 문자와 ...

• 4

  과기정통부, ‘국제 AI안전연구소 네트워크’...

• 5

  [퀴즈 이·보·소] 연말 앞둔 온라인 사기,...

• 1

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 2

  악명 높은 봇넷 엔지오웹, 각종 범죄 인프라...

• 3

  [정보세계정치학회 칼럼] 데이터·공급망 안보...

• 4

  북한 IT노동자, 가짜 이력서로 서방국 취업...

• 5

  연말시즌, 해커도 성수기... 해커들이 만든...

• 1

  580억원 상당의 가상자산 탈취사건, 북한 ...

• 2

  개인정보 유출 사고 대응방안 논의... 공공...

• 3

  인류를 위한 인공지능 거버넌스, 어떤 제안 ...

• 4

  깃허브에서 활동하는 개발자들을 노리는 고급 ...

• 5

  [단독] 한국지능정보사회진흥원, 관리자계정 ...