칠레 은행 네트워크인 레드방크에서 라자루스의 파워라탕크바 발견돼
레드방크의 전문가 한 명이 구인 공고에 속아 클릭하면서 공격 시작돼
[보안뉴스 문가용 기자] 칠레 은행 간 네트워크인 레드방크(Redbanc)에 있었던 공격자로 북한의 라자루스(Lazarus)이 지목됐다. 보안 업체 플래시포인트(Flashpoint)가 이 사건을 조사한 후 보고서를 발표했다.
[이미지 = iclickart]
라자루스 그룹은 최소 2009년부터 활동을 해온 그룹으로 북한 정부의 지원을 받고 있는 것이 거의 확실시 되고 있다. 전 세계 금융 산업을 공격하고 있으며, 현재 은행들의 가장 큰 위협거리로 거론되고 있다. 작년에도 금융 업계에 일어난 많은 해킹 사건에서 라자루스가 즐겨 사용하던 멀웨어들이 발견된 바 있다.
칠레 은행 네트워크에 대한 사이버 공격은 2018년 12월에 발생했으며, 분석 결과 파워라탕크바(PowerRatankba)라는 툴킷이 활용된 것ㅇ로 나타났다. 파워라탕크바는 이미 라자루스가 사용하는 것으로 유명한 멀웨어다. 레드방크의 네트워크에서 이 툴킷이 발견되었는데, 아무런 경보가 울리지 않았다고 한다.
현재까지 조사된 바에 의하면 한 레드방크 IT 전문가가 소셜 미디어에서 발견한 구인 공고 링크를 클릭하면서 공격이 시작됐다. 링크를 클릭하자 스카이프를 통한 간략한 인터뷰가 진행됐는데, 이 레드방크 전문가는 공고나 인터뷰 과정에서 그 어떤 이상한 점을 발견하지 못했다고 한다. 하지만 뒤에서는 이미 페이로드가 실행되고 있었다.
플래시포인트는 이 페이로드를 이미 공개된 샘플들에 대조했고, 그 결과 라자루스가 이전에 사용했었던 파워라탕크바와 연관성이 높은 드로퍼인 것으로 나타났다. 마이크로소프트 비주얼 C# / 베이직 닷넷(Basic .NET) 4.0.30319 버전으로 컴파일 된 드로퍼였으며, 파워셸 기반의 파워라탕크바를 다운로드 하는 기능을 가지고 있었다.
또한 화면에는 가짜 구직 신청서 양식을 띄워 배경에서 멀웨어가 다운로드 되고 실행되는 걸 사용자가 눈치 채지 못하게 하는 기능도 이 드로퍼는 가지고 있었다. 플래시포인트는 이 드로퍼의 페이로드를 샌드박스에서 수집할 수 있었다고 설명을 덧붙였다.
파워라탕크바는 2017년 12월 처음 공개된, 1단계 정찰용 툴로, 정찰만이 아니라 그 다음 단계 임플란트 및 멀웨어들을 다운로드 받아 실행시키는 데 활용되기도 한다. 칠레 은행 공격에서 발견된 파워라탕크바는 HTTPS를 활용해 C&C와 통신하고 있었다. 이전 버전들은 HTTP를 사용했었다.
파워라탕크바는 윈도우 관리 도구(WMI)를 사용해 시스템 정보를 수집하고, 그걸 서버로 전송한다. 시스템 세부 사항, 프로세스 목록, 사용자 이름, 프록시 세팅에 관한 정보가 주로 전송 대상이 된다. 또한 공유되고 있는 파일이나 폴더의 현황과 원격 데스크톱 프로토콜 포트에 관한 정보도 수집해 라자루스에게 전송한다.
관리자 권한을 취득하는 게 가능하다면, 파워라탕크바는 곧바로 다음 페이로드를 다운로드 받아 정상 서비스로 등록시켜버린다. 또한 시작 프로그램에도 등록시켜서 공격의 지속성까지 확보한다. 명령을 받아 실행하거나, 에이전트를 삭제하거나, ps1과 VBS 파일들을 조작 및 교체할 수 있다. 또한 서버로 데이터를 전송하고 실행파일을 다운로드 받아 파워셸을 통해 실행하는 것도 가능하다.
이번에 분석된 파워라탕크바는 콘솔로그(ConsoleLog)도 가지고 있다. 애플리케이션의 디버깅을 위한 아웃풋 로직으로, Temp 폴더에 데이터를 저장하고 있었다.
플래시포인트는 “라자루스는 지난 18개월 동안 다양한 조직들을 공격했다”며 “현재 가장 위험한 APT 그룹 중 하나로 손꼽아도 손색이 없을 정도로 수준이 올라왔다”고 경고했다. “특히 금융 기관에 대한 공격이 지독합니다. 전 세계 각국의 금융 기관들을 공격했으며, 최근에는 남미와 암호화폐 생태계에 집중하고 있는 모습을 보이고 있습니다.”
3줄 요약
1. 금전적인 목적으로 세계 각국 은행들 공격하는 북한의 라자루스.
2. 최근에는 칠레 은행들 간 네트워크인 레드방크 공격.
3. 파워라탕크바라는 강력한 1단계 멀웨어가 레드방크에서 발견되었음.
[국제부 문가용 기자(globoan@boannews.com)]
레드방크의 전문가 한 명이 구인 공고에 속아 클릭하면서 공격 시작돼
[보안뉴스 문가용 기자] 칠레 은행 간 네트워크인 레드방크(Redbanc)에 있었던 공격자로 북한의 라자루스(Lazarus)이 지목됐다. 보안 업체 플래시포인트(Flashpoint)가 이 사건을 조사한 후 보고서를 발표했다.
[이미지 = iclickart]
라자루스 그룹은 최소 2009년부터 활동을 해온 그룹으로 북한 정부의 지원을 받고 있는 것이 거의 확실시 되고 있다. 전 세계 금융 산업을 공격하고 있으며, 현재 은행들의 가장 큰 위협거리로 거론되고 있다. 작년에도 금융 업계에 일어난 많은 해킹 사건에서 라자루스가 즐겨 사용하던 멀웨어들이 발견된 바 있다.
칠레 은행 네트워크에 대한 사이버 공격은 2018년 12월에 발생했으며, 분석 결과 파워라탕크바(PowerRatankba)라는 툴킷이 활용된 것ㅇ로 나타났다. 파워라탕크바는 이미 라자루스가 사용하는 것으로 유명한 멀웨어다. 레드방크의 네트워크에서 이 툴킷이 발견되었는데, 아무런 경보가 울리지 않았다고 한다.
현재까지 조사된 바에 의하면 한 레드방크 IT 전문가가 소셜 미디어에서 발견한 구인 공고 링크를 클릭하면서 공격이 시작됐다. 링크를 클릭하자 스카이프를 통한 간략한 인터뷰가 진행됐는데, 이 레드방크 전문가는 공고나 인터뷰 과정에서 그 어떤 이상한 점을 발견하지 못했다고 한다. 하지만 뒤에서는 이미 페이로드가 실행되고 있었다.
플래시포인트는 이 페이로드를 이미 공개된 샘플들에 대조했고, 그 결과 라자루스가 이전에 사용했었던 파워라탕크바와 연관성이 높은 드로퍼인 것으로 나타났다. 마이크로소프트 비주얼 C# / 베이직 닷넷(Basic .NET) 4.0.30319 버전으로 컴파일 된 드로퍼였으며, 파워셸 기반의 파워라탕크바를 다운로드 하는 기능을 가지고 있었다.
또한 화면에는 가짜 구직 신청서 양식을 띄워 배경에서 멀웨어가 다운로드 되고 실행되는 걸 사용자가 눈치 채지 못하게 하는 기능도 이 드로퍼는 가지고 있었다. 플래시포인트는 이 드로퍼의 페이로드를 샌드박스에서 수집할 수 있었다고 설명을 덧붙였다.
파워라탕크바는 2017년 12월 처음 공개된, 1단계 정찰용 툴로, 정찰만이 아니라 그 다음 단계 임플란트 및 멀웨어들을 다운로드 받아 실행시키는 데 활용되기도 한다. 칠레 은행 공격에서 발견된 파워라탕크바는 HTTPS를 활용해 C&C와 통신하고 있었다. 이전 버전들은 HTTP를 사용했었다.
파워라탕크바는 윈도우 관리 도구(WMI)를 사용해 시스템 정보를 수집하고, 그걸 서버로 전송한다. 시스템 세부 사항, 프로세스 목록, 사용자 이름, 프록시 세팅에 관한 정보가 주로 전송 대상이 된다. 또한 공유되고 있는 파일이나 폴더의 현황과 원격 데스크톱 프로토콜 포트에 관한 정보도 수집해 라자루스에게 전송한다.
관리자 권한을 취득하는 게 가능하다면, 파워라탕크바는 곧바로 다음 페이로드를 다운로드 받아 정상 서비스로 등록시켜버린다. 또한 시작 프로그램에도 등록시켜서 공격의 지속성까지 확보한다. 명령을 받아 실행하거나, 에이전트를 삭제하거나, ps1과 VBS 파일들을 조작 및 교체할 수 있다. 또한 서버로 데이터를 전송하고 실행파일을 다운로드 받아 파워셸을 통해 실행하는 것도 가능하다.
이번에 분석된 파워라탕크바는 콘솔로그(ConsoleLog)도 가지고 있다. 애플리케이션의 디버깅을 위한 아웃풋 로직으로, Temp 폴더에 데이터를 저장하고 있었다.
플래시포인트는 “라자루스는 지난 18개월 동안 다양한 조직들을 공격했다”며 “현재 가장 위험한 APT 그룹 중 하나로 손꼽아도 손색이 없을 정도로 수준이 올라왔다”고 경고했다. “특히 금융 기관에 대한 공격이 지독합니다. 전 세계 각국의 금융 기관들을 공격했으며, 최근에는 남미와 암호화폐 생태계에 집중하고 있는 모습을 보이고 있습니다.”
3줄 요약
1. 금전적인 목적으로 세계 각국 은행들 공격하는 북한의 라자루스.
2. 최근에는 칠레 은행들 간 네트워크인 레드방크 공격.
3. 파워라탕크바라는 강력한 1단계 멀웨어가 레드방크에서 발견되었음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
