북한 라자루스, 링크드인 피싱 공격 통해 암호화폐 거래소 노려

‘우리는 블록체인 회사인데, 당신 같은 인재가 필요함’이라는 메시지 보내
돈을 노리는 라자루스...전 세계 금융권의 끊이지 않는 위협 요소로 인지해야

[보안뉴스 문가용 기자] 북한 정부의 사이버 공격 단체인 라자루스 그룹(Lazarus Group)이 암호화폐 거래소 한 곳을 노리는 피싱 공격을 실시하고 있다가 적발됐다. 당시 라자루스 그룹은 링크드인(LinkedIn)이라는 플랫폼을 통해 공격을 했다고 한다.

[이미지 = utoimage]

보안 전문가들에 의하면 이번 피싱 공격은 전 세계 기업들을 겨냥한 거대 링크드인 캠페인의 일환으로서 진행된 것으로 보인다고 한다. 현재 라자루스는 공격 표적의 개인 링크드인 계정을 통해 피싱 메시지를 보내고 있고, 이를 통해 기업의 주요 정보에 접근하고자 시도하고 있다. 최종 목표는 금전적인 이득으로 보인다. 왜냐하면 주로 암호화폐 지갑이나 온라인 뱅킹과 관련된 크리덴셜을 노리고 있기 때문이다.

이를 발견해 보고서를 발표한 보안 업체 에프시큐어(F-Secure)는 “라자루스의 공격 활동은 끊임없이 이어지고 있으며, 때문에 누구나 염두에 두고 방어에 힘을 써야 하는 위협 요소”라고 정의했다. 그러면서 “특히 금융 관련 조직들에 대한 공격이 무차별적으로 이어지기 때문에 이러한 산업군에 속한 단체라면 라자루스 공격을 항시 대비해야 한다”고 강조했다.

이번 피싱 공격에서 라자루스는 한 암호화폐 기업의 시스템 관리자를 겨냥했다. 피싱 메시지는 링크드인 플랫폼의 개인 메시지 기능을 통해 전달됐고, 이 메시지들에는 피싱 문서가 포함되어 있기도 했다. 문서는 구인 및 구직과 관련된 내용으로 구성되어 있으며, 특히 특정 블록체인 기술 관련 기업에서 피해자를 원하고 있다는 점이 강조되어 있었다.

이에 혹한 피해자가 악성 문서를 클릭해 여는 순간 알림창이 하나 뜬다. 문서가 GDPR의 규제 때문에 보호되어 있으니 콘텐츠를 제대로 보려면 매크로를 활성화시키라는 것이다. 매크로가 활성화 되는 순간 악성 매크로 코드가 실행되고, 시스템 내에 LNK 파일이 생성된단. 이 파일로부터 mshta.exe라는 파일이 실행된다.

mshta.exe는 2019년 5월초에 생성된 bit.ly 링크로 연결이 된다. 에프시큐어 연구원들이 이 링크를 조사했을 때, 최소 19개 국가에서부터 73번 접속이 된 것으로 나타났다. 표적 공격치고 광범위하게 발생했다고 볼 수 있다. 피해자들이 bit.ly 링크로 연결이 되면, VB스크립트가 호스팅 되어 있는 도메인으로 접속된다. 여기서 정보가 수집되며, 그 후 두 번째 C&C 도메인으로 연결된다. 여기서부터 파워셸 스크립트가 실행되며, 또 다른 C&C 서버로부터 세 번째 페이로드가 다운로드 된다.

최종적으로 다운로드 되는 페이로드에는 여러 가지 기능들이 포함되어 있다. 추가 파일 다운로드, 메모리 내 데이터 압축 해제, C&C 통신 활성화, 임의 명령 실행, 다양한 곳으로부터 크리덴셜 수집 등이다. 이 때 오픈소스 크리덴셜 수집 애플리케이션인 미미캐츠(Mimikatz)가 활용된다고 한다.

그 외에도 공격자들은 탐지 기술을 피하기 위해 여러 가지 전략을 활용하기도 했다. 윈도 디펜더의 모니터링 기능을 끈다거나 하는 것이다. 그러나 cmd.exe를 통해 꽤나 많은 명령을 공격자들이 실행하기 때문에 탐지의 기회는 많은 편이라고 한다. “이번 공격의 특징 중 하나는 명령에 2>&1이라는 문자열을 붙인다는 겁니다. 이 점만 잘 알고 있어서도 탐지가 가능합니다.”

에프시큐어는 “라자루스가 계속해서 금융 기관과 암호화폐 거래소들을 공격하고 있다”며 “비슷한 공격을 금융 기관 및 암호화폐 거래소와 관련이 있는 공급망을 겨냥해 실시할 경우 혼란이 가중될 수 있다”고 경고했다. “그렇게 할 경우 탐지가 더 어려워져 공격을 더 길게 이어갈 수 있고, 따라서 수익을 늘릴 수 있습니다. 충분한 동기가 되죠.”

3줄 요약
1. 북한 라자루스, 링크드인에서 피싱 캠페인 실시하고 있음.
2. 암호화폐 거래소 직원들을 통해 크리덴셜 빼앗고자 함.
3. 빼앗은 크리덴셜 통해 암호화폐 가져가려는 것이 목적.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)