미국, 북한 라자루스가 사용하는 멀웨어 세세하게 공개해

올해 초부터 시작된 드림잡 캠페인 적발돼…블라인딩캔이라는 멀웨어 분석해 발표
이스라엘을 비롯해 여러 나라의 국방 관련 조직들을 노린 공격…구직 테마 사용해

미국 국토안보부 산하 기관인 CISA와 FBI가 북한 사이버 공격자들이 사용하는 것으로 알려진 멀웨어에 대한 상세 내용을 공개했다. 발표 내용에 따르면 북한의 공격자들은 이 멀웨어를 사용해 이스라엘을 비롯해 몇 개 다른 국가들의 국방 관련 기관들을 공격했다고 한다.

[이미지 = utoimage]
이 멀웨어의 이름은 블라인딩캔(BLINDINGCAN)으로, 드림잡(Dream Job)이라는 캠페인에 주로 활용된 것으로 보인다. 드림잡 캠페인은 최소 올해 초부터 시작된 것으로, 이스라엘과 전 세계 여러 나라의 군사 및 국방 기관 수십 군데를 노리고 진행됐다. 주로 매력적이고 수익이 높은 직책으로 초청하는 스카우트 메일의 형태로 기관 내 임직원들을 노렸다고 한다.

영국의 사이버 보안 회사인 클리어스카이(ClearSky)에 의하면 이 ‘드림잡’ 캠페인은 북한 정부의 지원을 받고 있다고 알려진 라자루스(Lazarus)가 진행하고 있으며, 얼마 전 이스라엘 국방부 장관도 라자루스로 보이는 일당의 해킹 공격을 무산시킨 바 있다고 발표했었다. 라자루스는 히든코브라(Hidden Cobra)라고도 불리며 2017년 워너크라이(WannaCry) 공격 등을 감행한 단체로 알려져 있다.

지난 2년 동안 미국의 사이버사령부(USCYBERCOM)는 라자루스와 관련된 각종 멀웨어 샘플들을 지속적으로 공개해오고 있다. 이번에 발표된 블라인딩캔의 경우 “여러 가지 정보를 수집하는 기능을 가지고 있다”고 하는데, 이 ‘여러 가지 정보’는 OS 및 프로세서 세부 내용, 시스템 이름, 로컬 IP 정보, 맥 주소 등을 포함한다. 또한 공격자들이 원격에서 정보 탈취, 프로세스 조작, 코드 실행, 자가 삭제 등 여러 가지 기능을 실행할 수 있도록 돕기도 한다.

보고서에 의하면 라자루스는 프록시 서버들을 블라인딩캔과 함께 사용함으로써 피해자의 시스템에 지속적으로 접근할 수 있으며, 긴 시간 동안 다양한 공격 행위를 실시한다고 한다. 올해 들어 라자루스는 주로 정부와 국방 관련 사업에 계약을 맺은 업체들을 겨냥하고 있으며, 이러한 조직들을 통해 다양한 군사 정보를 훔쳐가고 있다고 강조했다.

공격자들은 구인 관련 정보가 담겨져 있는 악성 문서를 만들어 공격 대상이 되는 조직들로 보냈다고 한다. 보고서를 통해 CISA와 FBI는 “이러한 문건들을 통해 피해자들을 꼬드긴 후에 데이터를 수집하는 기능을 가진 임플란트를 심었다”고 설명하며 “이런 공격에 활용된 C&C 인프라는 라자루스가 이전 공격들을 통해 침해한 인프라에 호스팅 되어 있었다”고 밝혔다.

이번 보고서 발표를 위해 CISA와 FBI는 두 개의 DLL과 네 개의 DOCX 파일들을 확보해 분석했다고 한다. 문서들은 외부 도메인으로부터 페이로드를 가져오는 기능을 가지고 있었고, DLL 파일 중 하나는 라자루스가 사용하는 멀웨어들을 연패킹하고 실행하는 기능을 수행하는 것으로 밝혀졌다.

끝으로 CISA와 FBI는 이러한 공격에 대비해 네트워크와 시스템들을 강화시킬 수 있는 방법을 몇 가지 제안하기도 했다. 이에는 다음과 같은 내용들이 포함되어 있었다.
1) 장비와 애플리케이션들을 최신화 한다.
2) 이메일 첨부 파일을 열 때 보안 수칙을 지킨다.
3) 사용자 권한을 설정할 때 최소한의 권한을 허락한다.
4) 휴대용 드라이브들은 인가 받은 것만 사용한다.
5) 강력한 비밀번호 관련 정책을 적용시킨다.

3줄 요약
1. 북한의 라자루스, 올해부터 드림잡이라는 공격 캠페인 실시.
2. 이 때 블라인딩캔이라는 정보 수집 멀웨어 사용함.
3. 주로 군 관련 기관과 업체들이 공격에 당함.

출처 URL : https://www.boannews.com/media/view.asp?idx=90612

이 게시글이 문제가 될 시, 삭제하겠습니다