북한 해커들이 진행하는 컨태져스인터뷰 캠페인의 흔적이 일본에서도 발견됐다. 그런데 기존 공격과 달리 돈을 좀 더 노골적으로 노리는 듯한 모습이었다고 한다. 사실 북한이 연루되어 있으면 금전적 손실로 이어질 가능성이 높은 건 어제 오늘 일이 아니긴 하다.
3줄 요약
1. 북한이 오래 전부터 진행해 오던 악성 캠페인, 컨태져스인터뷰.
2. 최근 일본에서 이 캠페인이 진행됐는데, 돈이 주요 목표인 것으로 보임.
3. 오터쿠키라는, 이전에 사용하지 않았던 새로운 멀웨어까지 등장.
[보안뉴스 문정후 기자] 북한 해커들의 악성 캠페인이 지속적으로 발견되는 중이다. 이 캠페인은 현재 대다수 보안 업체들이 ‘컨태져스인터뷰(Contagious Interview)’라고 칭하는 것으로, 약 1년 전에 보안 업체 팔로알토네트웍스(Palo Alto Networks)에서도 발표한 바 있으며, 최근에는 일본에서 발견돼 분석되기도 했었다.
[이미지 = gettyimagesbank]
일본의 보안 업체 NTT가 최근 발표한 자료에 의하면 이번 컨태져스인터뷰 캠페인은 기존의 것들과 조금은 다른 양상을 보인다고 한다. “여태까지 컨태져스인터뷰 캠페인은 정부 기관의 지원을 받는 자들이 표적형 공격을 실시하는 양상을 띄는 것이 보통이었습니다. 하지만 이번에는 비교적 광범위한 대상들을 한꺼번에 공격했으며, 공격의 주요 동기는 ‘돈’이었습니다. 따라서 북한과 정치적으로 연루되어 있는 국가가 아니더라도 주의해야 할 필요가 있습니다.”
컨태져스인터뷰의 특성 중 하나는 시간이 지남에 따라 다양한 멀웨어를 동원한다는 것인데, 최근까지는 비버테일(BeaverTail)이나 인비저블퍼렛(InvisibleFerret)이 대표적이었다. “그런데 이번 캠페인에서는 이 둘 외에 또 다른 악성 코드가 사용되고 있었습니다. NTT 내부에서는 이를 오터쿠키(OtterCookie)라고 명명해 추적했습니다.”
공격, 어떻게 진행되는가
컨태져스인터뷰의 실제 공격 패턴은 딱히 하나로 정해지지 않고 있다고 NTT는 보고서를 통해 설명한다. “여러 가지 공격 수법이 동원됩니다. 하지만 그 중에서도 선호되는 것이 있는데, 바로 깃허브나 빗버킷(Bitbucket)에 악성 Node.js 프로젝트나 악성 npm 패키지를 업로드 해놓고 피해자들이 이것을 다운로드 하도록 유도하는 것입니다. 큐티(Qt)나 일렉트론(Electron)을 통해 애플리케이션으로 변환한 파일을 공격 시작의 도구로 활용하는 사례도 있었습니다. 공격자가 여러 가지 방법을 시도해보는 것으로 풀이됩니다.”
이렇게 악성 프로젝트나 패키지, 혹은 악성 파일을 통해 피해자의 시스템에 결국 전달되는 건 로더 멀웨어다. “이 로더는 원격 서버로부터 제이슨(JSON) 데이터를 다운로드 한 후 그 데이터의 쿠키(cookie) 속성 값을 자바스크립트 코드로 실행합니다. 단순히 자바스크립트 코드를 다운로드 하여 실행하는 경우도 있었고요. 주로 비버테일이라는 멀웨어를 설치하는 데 사용되지만, 오터쿠키를 실행하는 사례도 최근 나타나기 시작했습니다.”
비버테일과 같은 경우 여러 차례 분석되고, 그 결과가 다른 여러 보안 업체를 통해 발표되기도 했었다. 하지만 오터쿠키가 등장한 적은 없다. NTT는 11월부터 이 오터쿠키의 존재를 알게 됐지만 실제 공격자들이 이를 사용한 건 9월부터일 것으로 보고 있다. “9월에 사용됐던 버전과 11월에 사용됐던 버전 사이에는 약간의 차이가 있긴 하지만 기본 기능은 동일합니다.”
어떤 피해를 일으키는가?
분석 결과 11월 버전의 오터쿠키는 Socket.IO를 사용하여 원격 서버와 통신하는 것으로 밝혀졌다. “socketServer라는 함수가 있는데, 원격 서버로부터 명령을 수신하는 기능을 가지고 있었고, 이를 가지고 셸 명령을 실행하며, 터미널 정보를 탈취하기도 했습니다.” 그러면서 문서 파일, 이미지 파일, 암호화폐 관련 파일들이 주로 외부로 새나가는 것으로 확인됐다. 그 외에 환경을 좀 더 깊이 있게 조사하는 기능도 발견됐다.
반면 9월에 관찰된 오터쿠키는 암호화폐 지갑 키를 탈취하는 기능을 탑재하고 있었다고 한다. “이 버전에는 checkForSensitiveData라는 이름의 함수가 있었습니다. 이더리움 개인 키를 검사하는 기능을 가지고 있던 함수였습니다. 11월 버전에도 비슷한 기능이 있긴 했는데 원격 서버로부터 전송된 셸 명령을 통해서였습니다. 같은 기능을 발휘하되, 그것이 발현되는 과정이 달랐다는 것이죠. 또 11월 버전의 경우, 감염된 클립보드 정보를 원격 서버로 전송하기도 했습니다만 9월 버전에서는 그런 기능이 없었습니다.”
그래서?
북한의 해커들은 정부의 지원을 받는 타 해킹 조직들과 다르게 염탐과 정찰을 통해 정보를 탈취하는 데 그치지 않는다. 이들은 계속해서 ‘돈’을 얻어내기 위한 각종 공작을 펼쳐내는데, 정보보다 오히려 돈이 주요 목적일 때가 많다. 그러므로 북한과 정치적으로 얽혀 있지 않다고 해도 누구나 북한 해커들의 공격 대상이 될 수 있다. 그 중에서도 특히 암호화폐와 관련된 활동을 활발히 하는 경우 북한 해커의 레이더망에 들어갈 가능성이 높다. 북한 해커들이 가장 많이 훔치는 것이 암호화폐이기 때문이다.
그렇기 때문에 북한 해커들의 공격이라고 해서 먼 정계 얘기라고 흘려들어서는 안 된다. 그 형태가 무엇이든 금융권 서비스를 이용하고 있다면, 특히 암호화폐 투자와 거래를 자주 하는 편이라면 북한 해커들을 주의해야 하는 게 무조건 맞다. 암호화폐 거래소들 중에는 북한 해커들 때문에 하루아침에 문을 닫는 경우들도 존재한다.
북한 해커들에 관한 침해지표를 가지고 방어를 설계한다고 했을 때, 침해지표라는 것을 주기적으로 확인 및 점검하는 게 필요하다. 북한은 계속해서 멀웨어는 물론 공격 전략까지도 바꾸고 향상시키기 때문이다. 북한 해커들은 한 번 막았다고 영원히 막히지 않는다. 이들은 늘 새로운 도구들을 가지고 등장하며, 따라서 북한 해커들에 대한 방어 전략과 기술 역시 늘 새로워야 한다.
[국제부 문정후 기자(globoan@boannews.com)]
3줄 요약
1. 북한이 오래 전부터 진행해 오던 악성 캠페인, 컨태져스인터뷰.
2. 최근 일본에서 이 캠페인이 진행됐는데, 돈이 주요 목표인 것으로 보임.
3. 오터쿠키라는, 이전에 사용하지 않았던 새로운 멀웨어까지 등장.
[보안뉴스 문정후 기자] 북한 해커들의 악성 캠페인이 지속적으로 발견되는 중이다. 이 캠페인은 현재 대다수 보안 업체들이 ‘컨태져스인터뷰(Contagious Interview)’라고 칭하는 것으로, 약 1년 전에 보안 업체 팔로알토네트웍스(Palo Alto Networks)에서도 발표한 바 있으며, 최근에는 일본에서 발견돼 분석되기도 했었다.
[이미지 = gettyimagesbank]
일본의 보안 업체 NTT가 최근 발표한 자료에 의하면 이번 컨태져스인터뷰 캠페인은 기존의 것들과 조금은 다른 양상을 보인다고 한다. “여태까지 컨태져스인터뷰 캠페인은 정부 기관의 지원을 받는 자들이 표적형 공격을 실시하는 양상을 띄는 것이 보통이었습니다. 하지만 이번에는 비교적 광범위한 대상들을 한꺼번에 공격했으며, 공격의 주요 동기는 ‘돈’이었습니다. 따라서 북한과 정치적으로 연루되어 있는 국가가 아니더라도 주의해야 할 필요가 있습니다.”
컨태져스인터뷰의 특성 중 하나는 시간이 지남에 따라 다양한 멀웨어를 동원한다는 것인데, 최근까지는 비버테일(BeaverTail)이나 인비저블퍼렛(InvisibleFerret)이 대표적이었다. “그런데 이번 캠페인에서는 이 둘 외에 또 다른 악성 코드가 사용되고 있었습니다. NTT 내부에서는 이를 오터쿠키(OtterCookie)라고 명명해 추적했습니다.”
공격, 어떻게 진행되는가
컨태져스인터뷰의 실제 공격 패턴은 딱히 하나로 정해지지 않고 있다고 NTT는 보고서를 통해 설명한다. “여러 가지 공격 수법이 동원됩니다. 하지만 그 중에서도 선호되는 것이 있는데, 바로 깃허브나 빗버킷(Bitbucket)에 악성 Node.js 프로젝트나 악성 npm 패키지를 업로드 해놓고 피해자들이 이것을 다운로드 하도록 유도하는 것입니다. 큐티(Qt)나 일렉트론(Electron)을 통해 애플리케이션으로 변환한 파일을 공격 시작의 도구로 활용하는 사례도 있었습니다. 공격자가 여러 가지 방법을 시도해보는 것으로 풀이됩니다.”
이렇게 악성 프로젝트나 패키지, 혹은 악성 파일을 통해 피해자의 시스템에 결국 전달되는 건 로더 멀웨어다. “이 로더는 원격 서버로부터 제이슨(JSON) 데이터를 다운로드 한 후 그 데이터의 쿠키(cookie) 속성 값을 자바스크립트 코드로 실행합니다. 단순히 자바스크립트 코드를 다운로드 하여 실행하는 경우도 있었고요. 주로 비버테일이라는 멀웨어를 설치하는 데 사용되지만, 오터쿠키를 실행하는 사례도 최근 나타나기 시작했습니다.”
비버테일과 같은 경우 여러 차례 분석되고, 그 결과가 다른 여러 보안 업체를 통해 발표되기도 했었다. 하지만 오터쿠키가 등장한 적은 없다. NTT는 11월부터 이 오터쿠키의 존재를 알게 됐지만 실제 공격자들이 이를 사용한 건 9월부터일 것으로 보고 있다. “9월에 사용됐던 버전과 11월에 사용됐던 버전 사이에는 약간의 차이가 있긴 하지만 기본 기능은 동일합니다.”
어떤 피해를 일으키는가?
분석 결과 11월 버전의 오터쿠키는 Socket.IO를 사용하여 원격 서버와 통신하는 것으로 밝혀졌다. “socketServer라는 함수가 있는데, 원격 서버로부터 명령을 수신하는 기능을 가지고 있었고, 이를 가지고 셸 명령을 실행하며, 터미널 정보를 탈취하기도 했습니다.” 그러면서 문서 파일, 이미지 파일, 암호화폐 관련 파일들이 주로 외부로 새나가는 것으로 확인됐다. 그 외에 환경을 좀 더 깊이 있게 조사하는 기능도 발견됐다.
반면 9월에 관찰된 오터쿠키는 암호화폐 지갑 키를 탈취하는 기능을 탑재하고 있었다고 한다. “이 버전에는 checkForSensitiveData라는 이름의 함수가 있었습니다. 이더리움 개인 키를 검사하는 기능을 가지고 있던 함수였습니다. 11월 버전에도 비슷한 기능이 있긴 했는데 원격 서버로부터 전송된 셸 명령을 통해서였습니다. 같은 기능을 발휘하되, 그것이 발현되는 과정이 달랐다는 것이죠. 또 11월 버전의 경우, 감염된 클립보드 정보를 원격 서버로 전송하기도 했습니다만 9월 버전에서는 그런 기능이 없었습니다.”
그래서?
북한의 해커들은 정부의 지원을 받는 타 해킹 조직들과 다르게 염탐과 정찰을 통해 정보를 탈취하는 데 그치지 않는다. 이들은 계속해서 ‘돈’을 얻어내기 위한 각종 공작을 펼쳐내는데, 정보보다 오히려 돈이 주요 목적일 때가 많다. 그러므로 북한과 정치적으로 얽혀 있지 않다고 해도 누구나 북한 해커들의 공격 대상이 될 수 있다. 그 중에서도 특히 암호화폐와 관련된 활동을 활발히 하는 경우 북한 해커의 레이더망에 들어갈 가능성이 높다. 북한 해커들이 가장 많이 훔치는 것이 암호화폐이기 때문이다.
그렇기 때문에 북한 해커들의 공격이라고 해서 먼 정계 얘기라고 흘려들어서는 안 된다. 그 형태가 무엇이든 금융권 서비스를 이용하고 있다면, 특히 암호화폐 투자와 거래를 자주 하는 편이라면 북한 해커들을 주의해야 하는 게 무조건 맞다. 암호화폐 거래소들 중에는 북한 해커들 때문에 하루아침에 문을 닫는 경우들도 존재한다.
북한 해커들에 관한 침해지표를 가지고 방어를 설계한다고 했을 때, 침해지표라는 것을 주기적으로 확인 및 점검하는 게 필요하다. 북한은 계속해서 멀웨어는 물론 공격 전략까지도 바꾸고 향상시키기 때문이다. 북한 해커들은 한 번 막았다고 영원히 막히지 않는다. 이들은 늘 새로운 도구들을 가지고 등장하며, 따라서 북한 해커들에 대한 방어 전략과 기술 역시 늘 새로워야 한다.
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
