미국 사이버사령부, 북한 라자루스의 악성 파일 샘플 추가 공개

입력 : 2020-05-13 14:02

작년 9월 11개, 올해 2월 6개에 이어 5개...라자루스가 사용한 멀웨어들
코퍼헤지, 테인티드스크라이브, 페블대시 등 3개 멀웨어 구성하는 샘플들

[보안뉴스 문가용 기자] 미국의 사이버사령부(USCYBERCOM)가 오늘 바이러스토탈(VirusTotal)에 다섯 개의 멀웨어 샘플을 새롭게 업로드했다. 전부 북한의 해킹 그룹인 라자루스(Lazarus)가 사용한 것들이라고 한다.


미국 사이버사령부는 2018년 11월부터 미국 전체의 보안 강화를 목적으로 바이러스토탈을 통해 민간 보안 전문가들에게 멀웨어 샘플들을 공유하기 시작했다. 주로 북한, 러시아, 이란의 정부 지원을 받는 전문 해커들이 사용하고 있는 무기들과 악성 파일들이었다.

그러면서 지난 9월에는 라자루스가 사용하는 멀웨어라며 11개의 샘플을 업로드 하기도 했었다. 그리고 올해 2월 6개의 라자루스 샘플이 추가됐다. 11개 샘플은 여기(https://www.virustotal.com/en/user/CYBERCOM_Malware_Alert/)서, 6개 샘플은 여기(https://www.virustotal.com/gui/user/CYBERCOM_Malware_Alert/)서 열람이 가능하다.

여기에 5개 샘플이 오늘 추가(https://www.virustotal.com/en/user/CYBERCOM_Malware_Alert/)된 것으로, 4개는 2018년에, 나머지 하나는 2017년에 개발된 것으로 보인다.

이 샘플들은 총 세 개의 멀웨어 패밀리를 구성하고 있다. 미국의 CISA와 FBI, 국방부는 이 패밀리들을 코퍼헤지(COPPERHEDGE), 테인티드스크라이브(TAINTEDSCRIBE), 페블대시(PEBBLEDASH)라고 부른다.

5개 샘플 중 2개는 바이러스토탈에서 높은 탐지율을 기록하고 있다. 총 71개 백신 엔진들 중 35개에서 탐지됐다. 이 중 하나는 2017년에 처음 발견된 멀웨어인 데스토버(Destover)의 변종인 것으로 분석됐다.

코퍼헤지는 민간 보안 업자들 사이에서는 매뉴스크립트(Manuscrypt)라는 이름으로 더 널리 알려진 멀웨어로, 주로 암호화폐 거래소를 겨냥한 공격에 활용된 바 있다. 원격 접근 도구(RAT)이며, 공격자들은 매뉴스크립트로 감염시킨 시스템에서 여러 가지 정찰 활동은 물론 임의 명령 실행도 할 수 있게 된다. 현재 여섯 개의 변종이 있는 것으로 알려져 있다.

테인티드스크라이브는 비컨(beacon) 기능을 가지고 있는 임플란트로, 명령을 저장하고 있는 모듈들과 보통 같이 사용된다. 파일의 다운로드, 업로드, 삭제, 실행이 가능하며, 윈도우 CLI 접근을 활성화 하고 프로세스를 생성 및 종류할 수도 있으며, 표적 시스템의 정보를 수집하기도 한다. 주력이 되는 실행파일은 마이크로소프트의 내레이터(Narrator)인 것처럼 위장되어 있다고 사이버사령부는 설명했다.

페블대시 역시 비컨 기능을 가지고 있는 임플란트로, 테인티드스크라이브와 비슷하지만 네트워크 인코딩에 RC4를 사용한다는 차이점을 가지고 있다. 그 외 나머지 기능들도 테인티드스크라이브와 대동소이하다.

공개된 샘플들의 코드에는 유사한 부분이 많으며, 이 때문에 특정 백신 엔진들에서는 이 샘플들이 뉴크스페드(NukeSped)라는 RAT의 변종인 것처럼 탐지되기도 한다. 이는 미국 사이버사령부가 과거에 공유했던 샘플들에서도 나타난 특징이기도 하다.

3줄 요약
1. 라자루스가 사용한 것으로 보이는 멀웨어 샘플이 바이러스토탈에 공개됨.
2. 미국 사이버사령부가 업로드 한 것으로, 총 세 가지 멀웨어 패밀리에서 나온 파일들임.
3. 작년 9월에 11개, 올해 2월에 6개, 여기에 5개 더 추가됨.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  근로복지공단 고양지사 퇴사 직원, 내부 일탈...

• 2

  KB증권, 당사 사칭 카카오톡 공모주 청약 ...

• 3

  청년 목돈마련 돕는 홈페이지 사칭한 피싱 사...

• 4

  GPT4, 보안 권고문을 읽는 것 만으로도 ...

• 5

  SW 공급망 보안 가이드라인 1.0 발표.....

• 1

  [퀴즈 이·보·소] 거듭되는 취약점에 대표가...

• 2

  [보안 상장기업 주간 주가동향] 시장 기대치...

• 3

  메모리 안전 언어로 떠오르는 러스트의 라이브...

• 4

  [글로벌 인터뷰] OT를 넘어 확장된 CPS...

• 5

  제로트러스트 도입·확산 시범사업, 어떻게 진...

• 1

  한국형 전투기 KF-21 자료 유출하려다 걸...

• 2

  국가정보원, 국정원장 사칭 이메일 유포 주의...

• 3

  에스원, 출력물보안 서비스로 인쇄 출력물 통...

• 4

  2023년 가장 주목받은 사이버 위협 커뮤니...

• 5

  NSA의 제로트러스트 가이드라인, CISO는...