전체메뉴

[애플경제 박문석 기자]  지난 2009년 처음 등장한 이후 국제적으로 악명을 떨치고 있는 북한의 사이버 스파이 단체인 라자루스(Lazarus)가 최근엔 새로운 악성코드를 이용, 미국, 캐나다, 일본 등의 에너지 공급업체들을 해킹하고 있는 것으로 알려졌다.

15일 사이버 보안업체 시스코 탈로스(Cisco Talos)가 미국 정부를 인용한 내용에 따르면 ‘히든 코브라’ 또는 징크(Zinc)라는 별칭으로 불리는 라자루스는 사실상 북한 당국이 후원하는 국가 사이버 스파이 단체다. 이 단체는 그 동안 북한 당국의 판단에 따라 국제 사회의 다양한 목표를 겨냥, 공격해왔다.

지난 2020~2021년에 걸쳐 미국 등 12여 개국의 방산업체를 상대로 항공우주·군사장비 등 전략분야 지원 대상도 공격했다. 그런 라자루스가 최근에는 주요국의 에너지 공급업체를 목표로 하고 있다는게 시스코 탈로스의 새로운 보고다. 시스코 탈로스에 의하면 라자루스는 여러 공격을 할때마다매우 유사한 기술을 사용하는 경우가 많다.

그 중 대표적인 수법은 인터넷에 연결된 ‘VMware Horizon’ 서버의 Log4j 취약성을 이용하는 것이다. 그래서 일단 공격 대상의 시스템이 손상되면 장악한 웹 서버에서 툴킷을 다운로드한다. 이때 대체로 세 가지 각기 다른 수법을 구사하는 것으로 알려졌다. 이들은 모두 각기 다른 멀웨어를 배포하는 방식이다. 또 V싱글, ‘MagicRAT’ 또는 야마봇이라는 새로운 악성코드만 사용한다.

공격 수법을 바꿀 때마다 자격 증명 수집을 위해 ‘미미카츠’와 같은 다양한 도구나, SOCKs 혹은 프록시를 설정하는 프록시 도구, 또는 플링크와 같은 역터널링 도구를 사용하곤 한다. 또한 엔드포인트에 설치된 바이러스 백신도 검사하고, 윈도우 디펜더(Windows Defender) 바이러스 백신도 비활성화해버린다.

또한 오프라인 분석과 자격 증명, 그리고 탈취한 정보를 악용하기 위해 윈도우 레지스트리 하이브의 일부를 복사하고, 고유 권한을 가진 사용자로 위장하기 위해 ‘Active Directory’에서 정보를 수집한다. 공격이 완전히 실행되면 임시 도구를 제거하고, 윈도우 이벤트 로그를 정리하는 수법이다. 이 과정에서 정성을 들여 시스템을 탐색하고, 여러 폴더를 나열하곤 한다. 주로 독점적인 지적 재산이나 탐나는 폴더를 RAR 아카이브 파일에 저장하여 빼낸다. 이는 공격을 위해 주입한 악성 프로그램 중 하나를 통해 이뤄진다.

라자루스는 자체적으로 독점적인 악성 프로그램을 개발하기도 했다. 현재도 V싱글, 야마봇, 매직RAT로 불리는 세 가지 악성코드가 대표적이다.

그 중 V싱글은 정찰, 유출 및 수동 백도어와 같은 다양한 활동을 수행하기 위해 사용하는 영구 백도어다. 기본 스테이징으로 더 많은 멀웨어를 배포하거나, 공격자가 제어하는 C2 서버에 연결하는 역 셸을 열 수 있으며, ‘cmd.exe’를 통해 명령을 실행할 수 있다. V싱글을 사용하여, 라자러스는 감염된 컴퓨터에서 명령을 실행하며, 시스템과 해당 네트워크에 대한 정보를 수집한다. 다른 시스템에도 많은 멀웨어를 심거나, 나중에 유출할 정보를 찾을 수 있는 측면 이동 활동에 이는 필수적인 도구다.

또한 ‘Vsingle’도 유용한 도구다. 이를 사용하여 시스템이 사용자 자격 증명을 캐시하도록 했기 때문에 나중에 사용자 자격 증명을 수집하는 것이 가능하다. 또한 시스템에 추가된 사용자에 대한 관리자 권한을 얻기 위해 이를 사용하기도 한다. 이렇게 하면 멀웨어가 완전히 제거되더라도 공격자는 여전히 RDP(원격 데스크톱 프로토콜)를 통해 네트워크에 액세스할 수 있게 된다.

다만 V싱글을 사용할 때 두 가지 추가 소프트웨어를 사용하는게 보통이다. 즉 보안 셸(SSH) 프로토콜을 통해 시스템 간에 암호화된 터널을 만들 수 있도록 하는 플링크(Plink)라는 유틸리티가 첫 번째다. 또 공개적으로 사용할 수 있는 작은 프록시 서버인 3proxy라는 다른 도구도 사용한다.

라자루스는 또 최신 악성 소프트웨어인 ‘MagicRAT’도 활용한다. 이는 C++ 프로그래밍 언어로 개발된 영구 악성 소프트웨어다. 흥미롭게도, 이는 그래픽 인터페이스에 사용되는 프로그래밍 라이브러리인 Qt 프레임워크를 사용한다. RAT에는 그래픽 인터페이스가 없기 때문에 Qt 프레임워크를 이용해 악성 프로그램 분석의 복잡성을 증가시키기 위한 것으로 전문가들은 짐작한다.

일단 실행되면 멀웨어는 C2 서버에 시스템과 환경에 대한 기본 정보를 제공한다. 또한 원격 셸과 악성 프로그램의 자동 삭제나, 절전 기능과 같은 몇 가지 다른 기능을 통해 탐지되지 않도록 한다. 일부 라자루스에 의한 공격에선 MagicRAT가 V싱글 멀웨어를 배포하기도 했다.

라자루스는 또 V싱글 멀웨어를 배포하기 위한 또다른 악성프로그램 야마봇(YamaBot_을 배포하기도 한다. 이는 ‘Go’ 언어로 작성된 것으로, 동종 업체들과 마찬가지로 시스템에 대한 기본 정보를 수집하는 것으로 시작한다. 폴더와 목록 파일을 탐색하고, 감염된 컴퓨터에서 파일이나 임의 명령을 다운로드하여 실행하거나, 기계에서 실행 중인 프로세스에 대한 정보를 다시 전송하는 기능을 제공한다.

탈로스는 이번 라자루스의 타깃이 된 기업들을 공개하진 않고 있다. 대신에 “주로 캐나다, 미국, 일본의 에너지 회사를 목표로 하고 있었다”고만 언급했다. 이러한 공격의 주요 목표는 북한 정부의 목표를 지원하기 위해 간첩 활동을 수행하기 위한 것이며, 피해자 네트워크에 대한 장기적인 접근책을 확보하는 것이기도 하다. “중요한 인프라 및 에너지 기업을 대상으로 공격해온 과거의 라자루스의 전력과도 연계되어 독점적인 지적 재산을 빼돌릴 수 있는 장기적인 액세스를 확립하기 위한 것”이라는 탈로스의 설명이다.

탈로스는 “이를 예방하기 위해선 운영 체제와 모든 소프트웨어를 최신 상태로 유지하고 이러한 취약성 공격을 방지하기 위해 패치를 적용하는 것이 좋다.”면서 “또한 공격자가 시스템에 로그인하기 위해 자격 증명을 사용하여 직원을 가장하는 경우가 있기 때문에 회사 외부에서 들어오는 RDP 또는 VPN 서비스에 대한 모든 연결을 모니터링해야 한다”고 조언했다. 또 “이러한 이유로 공격자가 단순히 유효한 자격 증명을 사용하여 시스템에 로그인할 수 없도록 다중 요소 인증(MFA)을 배포하는 것이 바람직하며, 악성 프로그램이나 ‘Plink’와 같은 합법적인 도구의 오용을 탐지하기 위해 보안 솔루션을 배치하고, ‘사용자 정의’를 해야 한다”고 권했다.