Home > 전체기사
북한 라자루스, 링크드인 피싱 공격 통해 암호화폐 거래소 노려
  |  입력 : 2020-08-26 12:16
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
‘우리는 블록체인 회사인데, 당신 같은 인재가 필요함’이라는 메시지 보내
돈을 노리는 라자루스...전 세계 금융권의 끊이지 않는 위협 요소로 인지해야


[보안뉴스 문가용 기자] 북한 정부의 사이버 공격 단체인 라자루스 그룹(Lazarus Group)이 암호화폐 거래소 한 곳을 노리는 피싱 공격을 실시하고 있다가 적발됐다. 당시 라자루스 그룹은 링크드인(LinkedIn)이라는 플랫폼을 통해 공격을 했다고 한다.

[이미지 = utoimage]


보안 전문가들에 의하면 이번 피싱 공격은 전 세계 기업들을 겨냥한 거대 링크드인 캠페인의 일환으로서 진행된 것으로 보인다고 한다. 현재 라자루스는 공격 표적의 개인 링크드인 계정을 통해 피싱 메시지를 보내고 있고, 이를 통해 기업의 주요 정보에 접근하고자 시도하고 있다. 최종 목표는 금전적인 이득으로 보인다. 왜냐하면 주로 암호화폐 지갑이나 온라인 뱅킹과 관련된 크리덴셜을 노리고 있기 때문이다.

이를 발견해 보고서를 발표한 보안 업체 에프시큐어(F-Secure)는 “라자루스의 공격 활동은 끊임없이 이어지고 있으며, 때문에 누구나 염두에 두고 방어에 힘을 써야 하는 위협 요소”라고 정의했다. 그러면서 “특히 금융 관련 조직들에 대한 공격이 무차별적으로 이어지기 때문에 이러한 산업군에 속한 단체라면 라자루스 공격을 항시 대비해야 한다”고 강조했다.

이번 피싱 공격에서 라자루스는 한 암호화폐 기업의 시스템 관리자를 겨냥했다. 피싱 메시지는 링크드인 플랫폼의 개인 메시지 기능을 통해 전달됐고, 이 메시지들에는 피싱 문서가 포함되어 있기도 했다. 문서는 구인 및 구직과 관련된 내용으로 구성되어 있으며, 특히 특정 블록체인 기술 관련 기업에서 피해자를 원하고 있다는 점이 강조되어 있었다.

이에 혹한 피해자가 악성 문서를 클릭해 여는 순간 알림창이 하나 뜬다. 문서가 GDPR의 규제 때문에 보호되어 있으니 콘텐츠를 제대로 보려면 매크로를 활성화시키라는 것이다. 매크로가 활성화 되는 순간 악성 매크로 코드가 실행되고, 시스템 내에 LNK 파일이 생성된단. 이 파일로부터 mshta.exe라는 파일이 실행된다.

mshta.exe는 2019년 5월초에 생성된 bit.ly 링크로 연결이 된다. 에프시큐어 연구원들이 이 링크를 조사했을 때, 최소 19개 국가에서부터 73번 접속이 된 것으로 나타났다. 표적 공격치고 광범위하게 발생했다고 볼 수 있다. 피해자들이 bit.ly 링크로 연결이 되면, VB스크립트가 호스팅 되어 있는 도메인으로 접속된다. 여기서 정보가 수집되며, 그 후 두 번째 C&C 도메인으로 연결된다. 여기서부터 파워셸 스크립트가 실행되며, 또 다른 C&C 서버로부터 세 번째 페이로드가 다운로드 된다.

최종적으로 다운로드 되는 페이로드에는 여러 가지 기능들이 포함되어 있다. 추가 파일 다운로드, 메모리 내 데이터 압축 해제, C&C 통신 활성화, 임의 명령 실행, 다양한 곳으로부터 크리덴셜 수집 등이다. 이 때 오픈소스 크리덴셜 수집 애플리케이션인 미미캐츠(Mimikatz)가 활용된다고 한다.

그 외에도 공격자들은 탐지 기술을 피하기 위해 여러 가지 전략을 활용하기도 했다. 윈도 디펜더의 모니터링 기능을 끈다거나 하는 것이다. 그러나 cmd.exe를 통해 꽤나 많은 명령을 공격자들이 실행하기 때문에 탐지의 기회는 많은 편이라고 한다. “이번 공격의 특징 중 하나는 명령에 2>&1이라는 문자열을 붙인다는 겁니다. 이 점만 잘 알고 있어서도 탐지가 가능합니다.”

에프시큐어는 “라자루스가 계속해서 금융 기관과 암호화폐 거래소들을 공격하고 있다”며 “비슷한 공격을 금융 기관 및 암호화폐 거래소와 관련이 있는 공급망을 겨냥해 실시할 경우 혼란이 가중될 수 있다”고 경고했다. “그렇게 할 경우 탐지가 더 어려워져 공격을 더 길게 이어갈 수 있고, 따라서 수익을 늘릴 수 있습니다. 충분한 동기가 되죠.”

3줄 요약
1. 북한 라자루스, 링크드인에서 피싱 캠페인 실시하고 있음.
2. 암호화폐 거래소 직원들을 통해 크리덴셜 빼앗고자 함.
3. 빼앗은 크리덴셜 통해 암호화폐 가져가려는 것이 목적.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상