Home > 전체기사
미국 사이버사령부, 북한 라자루스의 악성 파일 샘플 추가 공개
  |  입력 : 2020-05-13 14:02
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
작년 9월 11개, 올해 2월 6개에 이어 5개...라자루스가 사용한 멀웨어들
코퍼헤지, 테인티드스크라이브, 페블대시 등 3개 멀웨어 구성하는 샘플들


[보안뉴스 문가용 기자] 미국의 사이버사령부(USCYBERCOM)가 오늘 바이러스토탈(VirusTotal)에 다섯 개의 멀웨어 샘플을 새롭게 업로드했다. 전부 북한의 해킹 그룹인 라자루스(Lazarus)가 사용한 것들이라고 한다.

[이미지 = iclickart]


미국 사이버사령부는 2018년 11월부터 미국 전체의 보안 강화를 목적으로 바이러스토탈을 통해 민간 보안 전문가들에게 멀웨어 샘플들을 공유하기 시작했다. 주로 북한, 러시아, 이란의 정부 지원을 받는 전문 해커들이 사용하고 있는 무기들과 악성 파일들이었다.

그러면서 지난 9월에는 라자루스가 사용하는 멀웨어라며 11개의 샘플을 업로드 하기도 했었다. 그리고 올해 2월 6개의 라자루스 샘플이 추가됐다. 11개 샘플은 여기(https://www.virustotal.com/en/user/CYBERCOM_Malware_Alert/)서, 6개 샘플은 여기(https://www.virustotal.com/gui/user/CYBERCOM_Malware_Alert/)서 열람이 가능하다.

여기에 5개 샘플이 오늘 추가(https://www.virustotal.com/en/user/CYBERCOM_Malware_Alert/)된 것으로, 4개는 2018년에, 나머지 하나는 2017년에 개발된 것으로 보인다.

이 샘플들은 총 세 개의 멀웨어 패밀리를 구성하고 있다. 미국의 CISA와 FBI, 국방부는 이 패밀리들을 코퍼헤지(COPPERHEDGE), 테인티드스크라이브(TAINTEDSCRIBE), 페블대시(PEBBLEDASH)라고 부른다.

5개 샘플 중 2개는 바이러스토탈에서 높은 탐지율을 기록하고 있다. 총 71개 백신 엔진들 중 35개에서 탐지됐다. 이 중 하나는 2017년에 처음 발견된 멀웨어인 데스토버(Destover)의 변종인 것으로 분석됐다.

코퍼헤지는 민간 보안 업자들 사이에서는 매뉴스크립트(Manuscrypt)라는 이름으로 더 널리 알려진 멀웨어로, 주로 암호화폐 거래소를 겨냥한 공격에 활용된 바 있다. 원격 접근 도구(RAT)이며, 공격자들은 매뉴스크립트로 감염시킨 시스템에서 여러 가지 정찰 활동은 물론 임의 명령 실행도 할 수 있게 된다. 현재 여섯 개의 변종이 있는 것으로 알려져 있다.

테인티드스크라이브는 비컨(beacon) 기능을 가지고 있는 임플란트로, 명령을 저장하고 있는 모듈들과 보통 같이 사용된다. 파일의 다운로드, 업로드, 삭제, 실행이 가능하며, 윈도우 CLI 접근을 활성화 하고 프로세스를 생성 및 종류할 수도 있으며, 표적 시스템의 정보를 수집하기도 한다. 주력이 되는 실행파일은 마이크로소프트의 내레이터(Narrator)인 것처럼 위장되어 있다고 사이버사령부는 설명했다.

페블대시 역시 비컨 기능을 가지고 있는 임플란트로, 테인티드스크라이브와 비슷하지만 네트워크 인코딩에 RC4를 사용한다는 차이점을 가지고 있다. 그 외 나머지 기능들도 테인티드스크라이브와 대동소이하다.

공개된 샘플들의 코드에는 유사한 부분이 많으며, 이 때문에 특정 백신 엔진들에서는 이 샘플들이 뉴크스페드(NukeSped)라는 RAT의 변종인 것처럼 탐지되기도 한다. 이는 미국 사이버사령부가 과거에 공유했던 샘플들에서도 나타난 특징이기도 하다.

3줄 요약
1. 라자루스가 사용한 것으로 보이는 멀웨어 샘플이 바이러스토탈에 공개됨.
2. 미국 사이버사령부가 업로드 한 것으로, 총 세 가지 멀웨어 패밀리에서 나온 파일들임.
3. 작년 9월에 11개, 올해 2월에 6개, 여기에 5개 더 추가됨.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)