Home > 전체기사
맥용 RAT 다클스, 라자루스가 새롭게 갖춘 사이버 무기?
  |  입력 : 2020-05-07 11:55
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
지난 해 발견된 리눅스와 윈도우용 RAT...최근 맥 시스템 겨냥한 변종 출현
RAT로서는 모든 기능 갖춰...북한 라자루스와의 연관성 언급되었으나 근거가 부실


[보안뉴스 문가용 기자] 북한의 사이버 공격 그룹인 라자루스(Lazarus)가 새로운 무기를 사용하기 시작했다. 다클스(Dacls)라는 이름을 가진 원격 접근 트로이목마의 새로운 변종이며, 현재 맥 시스템을 공격하는 데에 활용되고 있다고 한다.

[이미지 = iclickart]


다클스가 처음 발견된 건 작년 12월이다. 당시에는 윈도우와 리눅스 플랫폼을 공격하고 있었다. 곧 이어 맥 시스템을 공격하는 게 가능한 변종이 등장했다. 이 변종은 맥OS에서 사용되는 이중인증 애플리케이션인 미나OTP(MinaOTP)를 통해 퍼졌다. 물론 정식 미나OTP가 아니라 공격자들이 악의적으로 조작한 가짜 미나OTP였다. 주로 중국인들 사이에서 인기가 높은 앱이었다고 한다.

다클스는 원격 접근 트로이목마(RAT)가 갖춰야 할 모든 기능을 가지고 있는 멀웨어라고 이번 라자루스 관련 보고서를 발표한 보안 업체 멀웨어바이츠(Malwarebytes)가 설명한다. “멀웨어는 Contents/Resources/Base.lproj/라는 디렉토리 안에 실행파일 형태로 저장됩니다. 가짜 미나OTP 애플리케이션 파일로 보이도록 꾸며져 있습니다. 실행되면 성질 목록(plist) 파일을 생성합니다. 이 파일 내에는 리부트 이후 실행되어야 할 애플리케이션들이 지정되어 있습니다. 이 덕분에 공격의 지속성이 확보되는 것입니다.”

그 외에 이 파일에는 환경설정 파일도 포함되어 있는데, AES 알고리즘으로 암호화 되어 있으며, 애플 스토어(Apple Store)와 관련이 있는 데이터베이스 파일인 것처럼(Library/Caches/Com.apple.appstore.db) 위장되어 있다고 한다. IntializeConfiguration라는 함수가 이 설정 파일을 발동시키며 C&C 서버들의 목록을 주입시킨다. 라자루스는 이 C&C 서버들을 통해 환경설정 파일을 업데이트한다고 멀웨어바이츠는 보고서를 통해 설명한다.

여기까지 진행되었다면 이제 다클은 공격 지속성도 확보하고, C&C와도 연결된 상태다. 그때부터 다클은 피해자의 시스템으로부터 정보를 수집하고, 수집된 것을 RC4로 암호화시킨 후 SSL을 통해 C&C로 전송하기 시작한다. 이 때 사용되는 명령어 코드들은 이전에 발견된 리눅스 공격용 버전과 정확히 일치한다고 한다.

정보를 전송하는 것 외에 일곱 가지 모듈을 로딩하기도 한다. 이 중 여섯 개 역시 이전 리눅서 버전과 동일하다. 나머지 하나는 SOCKS라는 이름을 가진 플러그인인데, 피해자의 네트워크 트래픽을 C&C 서버로 프록시시키는 데 사용된다. 모듈들 모두 각자의 고유한 기능을 가지고 있으며, 환경설정 파일과 연결되어 있다.

이 모듈들에 대해 요약하자면 다음과 같다.
1) CMD : C&C 서버로부터 명령을 받아 실행한다.
2) File : 디렉토리 내 파일들을 검색해 읽고, 삭제하고, 다운로드 한다. 리눅스 버전은 쓰기도 가능하지만 맥 버전은 그렇지 않다.
3) Process : 프로세스 ID 등 프로세스 관련 정보를 수집하고, 프로세스를 실행시키거나 종료시킨다.
4) Test : 특정 IP 주소나 포트로의 연결 상태를 확인한다.
5) RP2P : 프록시 서버를 설정한다.
6) LogSend : 로그 서버의 연결을 확인하고, 웜을 스캔하고, 시스템 명령을 실행한다.

한편 멀웨어바이츠는 이 새로운 다클스 변종이 라자루스와 어떤 식으로 연관성을 갖고 있는지는 구체적으로 밝히지 않고 있다. 다클스를 공개한 블로그 게시글(https://blog.malwarebytes.com/threat-analysis/2020/05/new-mac-variant-of-lazarus-dacls-rat-distributed-via-trojanized-2fa-app/)의 서두에 라자루스가 이 다클스를 사용하고 있다고 언급했을 뿐이다. 이 부분에 대해서는 별도의 설명이 있을 것으로 보인다.

3줄 요약
1. 지난 해 발견된 RAT인 다클스, 맥용 버전이 새롭게 발견됨.
2. 이를 발견한 보안 업체는 라자루스와 관련성이 있다고 언급했지만 근거를 밝히지 않고 있음.
3. 다클스는 RAT로서 필요한 거의 모든 기능을 갖추고 있어서 경계해야 할 위협임.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상