북한의 블루노로프라는 해킹 그룹이 부지런히 암호화폐 산업을 노리고 있다. 이들은 피싱 이메일로부터 시작해 악성 앱을 피해자의 맥OS 시스템에 설치하고 있는데, 캠페인이 진행될 때마다 조금씩 발전하고 변화하는 모습을 보여주고 있다.
[보안뉴스 문정후 기자] 암호화폐 산업을 노리는 북한의 또 다른 캠페인이 드러났다. 보안 업체 센티넬원(SentinelOne)에 의하면 공격자는 블루노로프(BlueNoroff), 러스트도어(RustDoor), 러스트버킷(RustBucket) 등의 이름으로 알려져 있는 해킹 단체일 가능성이 높아 보인다고 한다. 북한 해커들이 암호화폐 산업을 노린 것은 이미 수년 전부터이기 때문에 이 가능성에 무게가 실리고 있다.
[이미지 = gettyimagesbank]
센티넬원의 설명에 의하면 이 캠페인의 특징은 zsh 설정파일인 zshenv를 악용하여 공격 지속성을 확보한다는 것이다. 센티넬원은 이 캠페인에 히든리스크(Hidden Risk)라는 이름을 붙여 추적했으며, 공격자들이 암호화폐 동향에 대한 허위 정보와 가짜뉴스를 담은 피싱 메일을 통해 피해자들에게 접근한다는 사실을 알아냈다. 피싱 메일들에는 PDF 파일로 위장한 악성 애플리케이션이 첨부되어 있거나, 그러한 파일을 다운로드 받게 해 주는 악성 링크가 포함되어 있었다.
상세 침해 방법
“PDF 문서의 제목은 ‘비트코인 가격 급등의 비밀’ 정도로 구성되어 있습니다. 비트코인에 관심이 있는 사람이라면 혹할 만하죠. 여기에 ‘알트코인 시즌 2.0’이라든가 ‘스테이블코인과 디파이’와 같은 주제의 문건들도 있습니다. 게다가 이런 메일들을 보낸 사람은 대학 교수 등 실제 암호화폐 산업에 종사하는 전문가이기도 합니다. 물론 그런 사람들을 공격자가 사칭한 것으로, 이번 캠페인과는 관련이 전혀 없는 것으로 분석됐습니다.”
피싱 이메일 발신에 사용된 도메인은 kalpadvisory.com으로, 이전에도 스팸 메일이 여기서부터 발송된 적이 있다. 이 피싱 이메일에 있는 ‘열기’ 버튼을 누르면 delphidigital.org라는 도메인에 연결되는데, 센티넬원은 이 링크로부터 악성 애플리케이션들이 피해자에게 전달됐을 거라고 보고 있다. “하지만 현재는 정상적인 문건들이 다운로드 됩니다. 공격자들이 캠페인을 한창 진행하고 나서 링크의 특성을 바꾼 것으로 보입니다.”
이번 캠페인에서 공격자들이 사용한 악성 앱 중 1단계 감염에 사용된 것은 스위프트(Swift)로 만들어졌으며, 맥용 앱인 것으로 분석됐다. “이 애플리케이션은 2024년 10월 19일에 Avantis Regtech Private Limited라는 애플 개발자 ID로 서명되었으나 현재는 애플이 이 서명을 취소한 상태입니다. 피해자 시스템에서 실행되면 구글 드라이브에서 PDF 파일을 다운로드 하여 User/Shared 폴더에 저장합니다. 그러는 동안 화면에서는 맥OS의 기본 PDF 뷰어를 통해 문건이 열리고 그 결과가 화면에 나타납니다. 맥OS는 기본적으로 안전하지 않은 HTTP 프로토콜을 통한 다운로드를 허용하지 않는데, 이를 위해 공격자들은 몇 가지 우회 방법을 적용하기도 했습니다.”
이 앱은 일종의 드로퍼인 것으로 분석됐다. 이 드로퍼는 또 다른 바이너리를 다운로드 하는데, 이 때 다운로드 되는 건 실행파일이다. “1단계의 드로퍼는 인텔과 애플의 실리콘 모두에서 실행이 됩니다만 2단계의 실행파일은 애플 실리콘에서만 작동합니다. 이 바이너리는 C++로 만들어졌으며, 약 5.1MB의 용량을 가지고 있습니다. 코드 서명은 전혀 되어 있지 않습니다.” 참고로 이 바이너리의 이름은 그로스(growth)다.
그로스가 하는 일은 다음과 같은 것으로 분석됐다.
1) 공격 지속성을 확보한다.
2) 피해자 시스템의 정보를 입수하고, 무작위 UUID를 생성한다.
3) 현재 날짜와 시간을 파악하고, 실행되고 있는 프로세스를 나열한다.
4) 수집한 데이터를 ci 문자열과 무작위 UUID와 함께 원격 서버에 전송하고 응답을 기다린다.
5) 응답이 오면 이를 확인하는데, 첫 바이트가 0x31이면 cs 문자열과 UUID 및 -1이라는 값을 전송하고 종료한다. 0.30일 경우 SaveAndExec 함수를 실행하여 원격 서버에서 온 응답을 읽고 이를 특정 파일에 저장한 후 실행한다.
왜 블루노로프인가?
공격자들의 움직임을 면밀히 분석한 센티넬원은 분석 과정에서 2023년에 있었던 러스트버킷(RustBucket) 캠페인과 유사한 점들을 제법 발견할 수 있었다고 한다. “예를 들어 mozilla/4.0이라는 문자열이 두 캠페인에서 동일하게 나타나고 있습니다. curl의 l 대신 숫자 1을 사용한 cur1-agent라는 문자열 역시 똑같이 등장하고 있습니다. 이 두 문자열은 다른 어떤 캠페인에서도 발견된 적이 없습니다. 따라서 이 두 캠페인의 배후 세력이 동일하다고 추정하기에 충분합니다.”
게다가 악성 코드 자체에도 유사한 점들이 있었다. “러스트버킷 캠페인에서 사용된 악성 코드나 이번 악성 코드나 C&C 서버로부터 오는 응답을 비슷한 방식으로 확인합니다. 응답을 기다리거나, 그 응답에 따라 공격을 종료하거나, 명령을 실행할 때 동일한 로직이 사용되기도 하며, 이 과정에서 사용되는 함수인 ProcessRequest는 이전 캠페인에서도 동일한 이름으로 등장했었습니다.” 그 외에도 명령을 숨기는 방식 등에서도 유사한 점들이 나타났다.
이번 캠페인의 핵심, zshenv
하지만 이번 캠페인만의 독특한 점도 있었는데 바로 zshenv라는 설정파일을 악용하여 공격 지속성을 확보하고 있다는 것이다. “zshenv는 zsh라는 셸에서 사용하는 설정파일 중 하나로, 사용자의 홈 디렉토리와 시스템 전체에 적용되는 디렉토리에 존재합니다. 이 파일은 모든 zsh 세션들이 참조하며, 대화형과 비대화형 셸, 비로그인 셸, 스크립트에서도 사용됩니다. 또한 다른 zsh 시작 파일보다 먼저 읽힌다는 특성도 가지고 있습니다.”
과거 블루토로프 캠페인에서도 zsh_env라는, 매우 유사한 문자열이 발견된 적이 있지만 실제로 zshenv를 공격에 활용하지는 않았다고 센티넬원은 설명한다. “피해자의 시스템에 악성 zshenv 파일을 심으면 어떻게 될까요? 이 파일이 끊임없이 참조되므로 공격 지속성 확보가 가능해집니다. 사실, 이미 공격자들 사이에서 널리 알려진 기법이긴 합니다만 실제 활용되지는 않았습니다. 이번에 발견된 사례가 처음입니다. 최신 맥OS 버전들에서 꽤나 유용한 방법이므로, 앞으로 이런 방법이 계속 활용될 것으로 예상됩니다.”
블루노로프, 지속적으로 암호화폐 생태계 노려
최근 몇 달 동안 블로노로프는 암호화폐, 웹3, 핀테크, 투자에 전문적인 조직을 가짜로 만들거나 사칭하여 악성 코드를 퍼트리는 공격 행위를 이어가고 있다. “주로 네임칩(NameCheap)이라는 도메인 등록 서비스와 퀵패킷(Quickpacket), 라우터호스팅(Routerhosting), 호스트윈즈(Hostwinds) 등의 가상 서버 호스팅 서비스를 이용하고 있습니다. 그 외에도 브레보(Brevo)와 같은 이메일 마케팅 자동화 도구를 악용해 도메인 소유권을 인증함으로써 스팸과 피싱을 탐지하는 도구들을 우회하려 하기도 했습니다.”
센티넬원은 인프라 분석 도구인 발리딘(Validin)을 통해 블루노로프의 공격용 도메인과 IP 주소들 간의 관계를 확인할 수 있었다고 한다. 그 외에도 DNS TXT 기록과 같은 속성을 분석하여 피싱 이메일에 사용될 가능성이 있는 도메인을 파악하는 것도 가능하다고 설명한다. “그렇게 했을 때 블루토로프가 다양한 최상위 도메인(TLD)에 걸쳐 유사한 방식으로 추가 도메인을 등록해두었다는 것을 파악할 수 있었습니다. 이후에 있을 공격들을 위해 미리 인프라 요소들을 마련한 것으로 보입니다.”
결국 블루노로프가 활동 범위를 계속해서 확장하고 있다는 것이 이번 히든리스크 캠페인을 통해 드러났다고 정리가 가능하다. “그렇게 공격 범위와 인프라를 확장하는 데 있어 다양한 방식을 채용하고 있기도 했습니다. 즉 지속적인 진화를 통해 암호화폐 산업을 노리고 있었다는 것이죠. 히든리스크는 그런 그들의 진화의 과정 중에 나타나는 하나의 현상일 뿐입니다.”
센티넬원은 그 동안 북한 공격자들이 너무나 많은 조직을, 너무나 빈번하게 공격해 왔기 때문에 보안 업계에 그들에 대한 데이터가 많이 쌓여있다고 말한다. “이들이 활용하는 전략들이나 도구들에 대해서 우리는 잘 알고 있습니다. 하지만 그렇기 때문에 북한 해커들은 계속해서 다양한 방식을 시도하고, 다양한 전략을 접목시키고 있습니다. 이런 범죄 단체들은 여러 전략과 도구를 동시에, 다양하게 활용할 수 있는 것으로 보이며, 따라서 우리는 이들에 대해 ‘잘 알고 있다’고 말하기가 어렵습니다.”
그런 북한 공격자들은 현재 애플 생태계에 위협적인 멀웨어를 퍼트리는 데 집중하고 있으며, 애플 시스템의 보안 도구들을 점점 더 교묘하게, 효과적으로 우회하고 있기도 하다. “금융 업계와 암호화폐 산업 전체가 북한을 경계해야 합니다. 거기에 더해 이제 맥 사용자들 역시도 북한 해커들의 움직임에 주의해야 할 필요가 있습니다.”
3줄 요약
1. 북한의 해커들, 최근 암호화폐 산업 노리는 ‘히든리스크’ 캠페인 진행.
2. 2단계로 악성 앱 심고 있는데, 2단계 앱의 경우 맥OS에서만 실행됨.
3. 북한을 특히 주시해야 하는 건 금융 산업, 암호화폐 산업, 그리고 맥OS 사용자들.
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 암호화폐 산업을 노리는 북한의 또 다른 캠페인이 드러났다. 보안 업체 센티넬원(SentinelOne)에 의하면 공격자는 블루노로프(BlueNoroff), 러스트도어(RustDoor), 러스트버킷(RustBucket) 등의 이름으로 알려져 있는 해킹 단체일 가능성이 높아 보인다고 한다. 북한 해커들이 암호화폐 산업을 노린 것은 이미 수년 전부터이기 때문에 이 가능성에 무게가 실리고 있다.
[이미지 = gettyimagesbank]
센티넬원의 설명에 의하면 이 캠페인의 특징은 zsh 설정파일인 zshenv를 악용하여 공격 지속성을 확보한다는 것이다. 센티넬원은 이 캠페인에 히든리스크(Hidden Risk)라는 이름을 붙여 추적했으며, 공격자들이 암호화폐 동향에 대한 허위 정보와 가짜뉴스를 담은 피싱 메일을 통해 피해자들에게 접근한다는 사실을 알아냈다. 피싱 메일들에는 PDF 파일로 위장한 악성 애플리케이션이 첨부되어 있거나, 그러한 파일을 다운로드 받게 해 주는 악성 링크가 포함되어 있었다.
상세 침해 방법
“PDF 문서의 제목은 ‘비트코인 가격 급등의 비밀’ 정도로 구성되어 있습니다. 비트코인에 관심이 있는 사람이라면 혹할 만하죠. 여기에 ‘알트코인 시즌 2.0’이라든가 ‘스테이블코인과 디파이’와 같은 주제의 문건들도 있습니다. 게다가 이런 메일들을 보낸 사람은 대학 교수 등 실제 암호화폐 산업에 종사하는 전문가이기도 합니다. 물론 그런 사람들을 공격자가 사칭한 것으로, 이번 캠페인과는 관련이 전혀 없는 것으로 분석됐습니다.”
피싱 이메일 발신에 사용된 도메인은 kalpadvisory.com으로, 이전에도 스팸 메일이 여기서부터 발송된 적이 있다. 이 피싱 이메일에 있는 ‘열기’ 버튼을 누르면 delphidigital.org라는 도메인에 연결되는데, 센티넬원은 이 링크로부터 악성 애플리케이션들이 피해자에게 전달됐을 거라고 보고 있다. “하지만 현재는 정상적인 문건들이 다운로드 됩니다. 공격자들이 캠페인을 한창 진행하고 나서 링크의 특성을 바꾼 것으로 보입니다.”
이번 캠페인에서 공격자들이 사용한 악성 앱 중 1단계 감염에 사용된 것은 스위프트(Swift)로 만들어졌으며, 맥용 앱인 것으로 분석됐다. “이 애플리케이션은 2024년 10월 19일에 Avantis Regtech Private Limited라는 애플 개발자 ID로 서명되었으나 현재는 애플이 이 서명을 취소한 상태입니다. 피해자 시스템에서 실행되면 구글 드라이브에서 PDF 파일을 다운로드 하여 User/Shared 폴더에 저장합니다. 그러는 동안 화면에서는 맥OS의 기본 PDF 뷰어를 통해 문건이 열리고 그 결과가 화면에 나타납니다. 맥OS는 기본적으로 안전하지 않은 HTTP 프로토콜을 통한 다운로드를 허용하지 않는데, 이를 위해 공격자들은 몇 가지 우회 방법을 적용하기도 했습니다.”
이 앱은 일종의 드로퍼인 것으로 분석됐다. 이 드로퍼는 또 다른 바이너리를 다운로드 하는데, 이 때 다운로드 되는 건 실행파일이다. “1단계의 드로퍼는 인텔과 애플의 실리콘 모두에서 실행이 됩니다만 2단계의 실행파일은 애플 실리콘에서만 작동합니다. 이 바이너리는 C++로 만들어졌으며, 약 5.1MB의 용량을 가지고 있습니다. 코드 서명은 전혀 되어 있지 않습니다.” 참고로 이 바이너리의 이름은 그로스(growth)다.
그로스가 하는 일은 다음과 같은 것으로 분석됐다.
1) 공격 지속성을 확보한다.
2) 피해자 시스템의 정보를 입수하고, 무작위 UUID를 생성한다.
3) 현재 날짜와 시간을 파악하고, 실행되고 있는 프로세스를 나열한다.
4) 수집한 데이터를 ci 문자열과 무작위 UUID와 함께 원격 서버에 전송하고 응답을 기다린다.
5) 응답이 오면 이를 확인하는데, 첫 바이트가 0x31이면 cs 문자열과 UUID 및 -1이라는 값을 전송하고 종료한다. 0.30일 경우 SaveAndExec 함수를 실행하여 원격 서버에서 온 응답을 읽고 이를 특정 파일에 저장한 후 실행한다.
왜 블루노로프인가?
공격자들의 움직임을 면밀히 분석한 센티넬원은 분석 과정에서 2023년에 있었던 러스트버킷(RustBucket) 캠페인과 유사한 점들을 제법 발견할 수 있었다고 한다. “예를 들어 mozilla/4.0이라는 문자열이 두 캠페인에서 동일하게 나타나고 있습니다. curl의 l 대신 숫자 1을 사용한 cur1-agent라는 문자열 역시 똑같이 등장하고 있습니다. 이 두 문자열은 다른 어떤 캠페인에서도 발견된 적이 없습니다. 따라서 이 두 캠페인의 배후 세력이 동일하다고 추정하기에 충분합니다.”
게다가 악성 코드 자체에도 유사한 점들이 있었다. “러스트버킷 캠페인에서 사용된 악성 코드나 이번 악성 코드나 C&C 서버로부터 오는 응답을 비슷한 방식으로 확인합니다. 응답을 기다리거나, 그 응답에 따라 공격을 종료하거나, 명령을 실행할 때 동일한 로직이 사용되기도 하며, 이 과정에서 사용되는 함수인 ProcessRequest는 이전 캠페인에서도 동일한 이름으로 등장했었습니다.” 그 외에도 명령을 숨기는 방식 등에서도 유사한 점들이 나타났다.
이번 캠페인의 핵심, zshenv
하지만 이번 캠페인만의 독특한 점도 있었는데 바로 zshenv라는 설정파일을 악용하여 공격 지속성을 확보하고 있다는 것이다. “zshenv는 zsh라는 셸에서 사용하는 설정파일 중 하나로, 사용자의 홈 디렉토리와 시스템 전체에 적용되는 디렉토리에 존재합니다. 이 파일은 모든 zsh 세션들이 참조하며, 대화형과 비대화형 셸, 비로그인 셸, 스크립트에서도 사용됩니다. 또한 다른 zsh 시작 파일보다 먼저 읽힌다는 특성도 가지고 있습니다.”
과거 블루토로프 캠페인에서도 zsh_env라는, 매우 유사한 문자열이 발견된 적이 있지만 실제로 zshenv를 공격에 활용하지는 않았다고 센티넬원은 설명한다. “피해자의 시스템에 악성 zshenv 파일을 심으면 어떻게 될까요? 이 파일이 끊임없이 참조되므로 공격 지속성 확보가 가능해집니다. 사실, 이미 공격자들 사이에서 널리 알려진 기법이긴 합니다만 실제 활용되지는 않았습니다. 이번에 발견된 사례가 처음입니다. 최신 맥OS 버전들에서 꽤나 유용한 방법이므로, 앞으로 이런 방법이 계속 활용될 것으로 예상됩니다.”
블루노로프, 지속적으로 암호화폐 생태계 노려
최근 몇 달 동안 블로노로프는 암호화폐, 웹3, 핀테크, 투자에 전문적인 조직을 가짜로 만들거나 사칭하여 악성 코드를 퍼트리는 공격 행위를 이어가고 있다. “주로 네임칩(NameCheap)이라는 도메인 등록 서비스와 퀵패킷(Quickpacket), 라우터호스팅(Routerhosting), 호스트윈즈(Hostwinds) 등의 가상 서버 호스팅 서비스를 이용하고 있습니다. 그 외에도 브레보(Brevo)와 같은 이메일 마케팅 자동화 도구를 악용해 도메인 소유권을 인증함으로써 스팸과 피싱을 탐지하는 도구들을 우회하려 하기도 했습니다.”
센티넬원은 인프라 분석 도구인 발리딘(Validin)을 통해 블루노로프의 공격용 도메인과 IP 주소들 간의 관계를 확인할 수 있었다고 한다. 그 외에도 DNS TXT 기록과 같은 속성을 분석하여 피싱 이메일에 사용될 가능성이 있는 도메인을 파악하는 것도 가능하다고 설명한다. “그렇게 했을 때 블루토로프가 다양한 최상위 도메인(TLD)에 걸쳐 유사한 방식으로 추가 도메인을 등록해두었다는 것을 파악할 수 있었습니다. 이후에 있을 공격들을 위해 미리 인프라 요소들을 마련한 것으로 보입니다.”
결국 블루노로프가 활동 범위를 계속해서 확장하고 있다는 것이 이번 히든리스크 캠페인을 통해 드러났다고 정리가 가능하다. “그렇게 공격 범위와 인프라를 확장하는 데 있어 다양한 방식을 채용하고 있기도 했습니다. 즉 지속적인 진화를 통해 암호화폐 산업을 노리고 있었다는 것이죠. 히든리스크는 그런 그들의 진화의 과정 중에 나타나는 하나의 현상일 뿐입니다.”
센티넬원은 그 동안 북한 공격자들이 너무나 많은 조직을, 너무나 빈번하게 공격해 왔기 때문에 보안 업계에 그들에 대한 데이터가 많이 쌓여있다고 말한다. “이들이 활용하는 전략들이나 도구들에 대해서 우리는 잘 알고 있습니다. 하지만 그렇기 때문에 북한 해커들은 계속해서 다양한 방식을 시도하고, 다양한 전략을 접목시키고 있습니다. 이런 범죄 단체들은 여러 전략과 도구를 동시에, 다양하게 활용할 수 있는 것으로 보이며, 따라서 우리는 이들에 대해 ‘잘 알고 있다’고 말하기가 어렵습니다.”
그런 북한 공격자들은 현재 애플 생태계에 위협적인 멀웨어를 퍼트리는 데 집중하고 있으며, 애플 시스템의 보안 도구들을 점점 더 교묘하게, 효과적으로 우회하고 있기도 하다. “금융 업계와 암호화폐 산업 전체가 북한을 경계해야 합니다. 거기에 더해 이제 맥 사용자들 역시도 북한 해커들의 움직임에 주의해야 할 필요가 있습니다.”
3줄 요약
1. 북한의 해커들, 최근 암호화폐 산업 노리는 ‘히든리스크’ 캠페인 진행.
2. 2단계로 악성 앱 심고 있는데, 2단계 앱의 경우 맥OS에서만 실행됨.
3. 북한을 특히 주시해야 하는 건 금융 산업, 암호화폐 산업, 그리고 맥OS 사용자들.
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
