작년부터 맥OS용 멀웨어 들고 나오더니…메모리 실행 기능까지 익힌 듯
가짜 암호화폐 거래소 웹사이트 만들고, 가짜 거래 전용 앱 만들어 호스팅 시켜
[보안뉴스 문가용 기자] 북한의 해킹 단체인 라자루스(Lazarus)가 만들거나 주로 사용하는 것으로 보이는 맥OS용 멀웨어에 새로운 기능이 추가됐다. 페이로드를 메모리 내에서 실행시키는 기능으로, 멀웨어를 탐지하는 게 더 힘들어질 전망이다.
[이미지 = iclickart]
라자루스는 최소 2009년부터 활동해온 해킹 단체로, 작년 8월부터 갑자기 맥OS 환경에서 작동하는 멀웨어를 활용하기 시작했고 2019년까지 맥OS를 겨냥한 공격이 이어지고 있다.
또한 최근 라자루스는 한국을 위시로 전 세계 곳곳의 암호화폐 거래소를 공격하는 데 혈안이 되어 있었다. 가짜 암호화폐 거래소를 만들어 사용자들을 꼬드기거나, 암호화폐 거래 앱을 가짜로 만들어 퍼트리는 수법을 주로 활용했는데 최근에도 그 모습에는 변함이 없다.
최근 발견된 맥OS 멀웨어가 활용된 공격은 다음과 같은 시나리오로 진행됐다.
1) 라자루스가 새로운 웹사이트인 unioncrypto.vip를 만들었다.
2) 이 사이트에 접속하면 104.168.167.16이라는 IP 주소로 연결된다.
3) 위 주소로 들어갈 경우 악성 파일이 다운로드 되기 시작한다.
이 악성 파일은 UnionCryptoTrader.dmg라는 이름을 가진 디스크 이미지 파일이다. 서명되지 않은 패키지 하나가 내포되어 있다. 따라서 이 dmg 패키지가 사용자 시스템에서 실행될 때 경고 메시지가 뜰 수밖에 없다.
보안 전문가 패트릭 워들(Patrick Wardle)이 추적한 바에 의하면 “그런 경고 메시지를 잘 읽어보지 않는 사용자들이 많고, 실제 이미 이 악성 애플리케이션이 최소 1번 이상 다운로드 된 상태”라고 한다. 물론 다운로드 받은 사람이 서명되지 않은 패키지를 설치까지 했는지는 확실히 알 수 없다.
“패키지를 분석했더니 포스트인스톨 스크립트(postinstall script)가 나왔습니다. 이 스크립트의 기능은 어떤 론치 데몬(launch daemon)을 지속적으로 설치하는 것입니다. 이를 성공적으로 실행시키기 위해서 공격자에게는 루트 접근 권한이 필요하며, 이를 얻기 위해 사용자더러 크리덴셜을 입력하라는 프롬프트 창을 띄우기도 합니다.”
모든 것이 성공적으로 진행될 경우 RunAtLoad 킷값이 “true”로 설정되고, 따라서 맥OS가 부팅될 때마다 바이너리가 자동으로 실행된다. “이렇게 론치 데몬을 설치하는 것과, 그 론치데몬의 plist와 바이너리가 애플리케이션의 자원 디렉토리에 숨겨진 채 저장되어 있는 것 모두 라자루스가 항상 보여오는 수법입니다.” 워들의 설명이다.
여기까지 진행되는 동안 대부분의 사용자들은 암호화폐 거래소에서 거래 앱을 설치한 것으로만 이해한다. 그러는 동안 멀웨어는 시스템 정보를 수집하고 C&C 서버와의 통신을 시도한다. 접속하려 했던 C&C 서버가 0이라는 응답을 보내지 않을 경우, 연결은 실패하고, 멀웨어는 로컬에 이미 다운로드 되어 있던 페이로드를 실행시키기 시작한다.
이 시점까지는 라자루스가 전부터 사용해왔던 맥OS용 멀웨어와 크게 다르지 않다. 하지만 이전 버전과 이번 버전의 가장 큰 차이는 미리 다운로드 되어 있던 페이로드를 ‘메모리에서’ 실행시킨다는 것이다. “라자루스가 메모리 내에서만 악성 동작을 실행시키는 방법을 새롭게 터득한 것으로 보입니다. 따라서 공격은 더 은밀해졌습니다.”
워들은 “이게 간단한 업그레이드가 아니”라고 설명을 덧붙이기도 했다. “이미 보안 전문가들 사이에서 공개된 맥OS용 멀웨어 중에서 이렇게까지 고급 기능이 추가된 걸 본 적이 없습니다. 북한 해커들의 실력이 얼마나 빠르게 좋아지고 있는지 보여주는 사례입니다.”
3줄 요약
1. 라자루스가 작년부터 사용하던 맥OS용 멀웨어, 업그레이드 됨.
2. 악성 페이로드를 실행시킬 때 메모리 내에서만 실행하는 기능임.
3. 암호화폐 거래소와 고객 모두 노리는 악명 높은 집단, 더 은밀해짐.
[국제부 문가용 기자(globoan@boannews.com)]
가짜 암호화폐 거래소 웹사이트 만들고, 가짜 거래 전용 앱 만들어 호스팅 시켜
[보안뉴스 문가용 기자] 북한의 해킹 단체인 라자루스(Lazarus)가 만들거나 주로 사용하는 것으로 보이는 맥OS용 멀웨어에 새로운 기능이 추가됐다. 페이로드를 메모리 내에서 실행시키는 기능으로, 멀웨어를 탐지하는 게 더 힘들어질 전망이다.
[이미지 = iclickart]
라자루스는 최소 2009년부터 활동해온 해킹 단체로, 작년 8월부터 갑자기 맥OS 환경에서 작동하는 멀웨어를 활용하기 시작했고 2019년까지 맥OS를 겨냥한 공격이 이어지고 있다.
또한 최근 라자루스는 한국을 위시로 전 세계 곳곳의 암호화폐 거래소를 공격하는 데 혈안이 되어 있었다. 가짜 암호화폐 거래소를 만들어 사용자들을 꼬드기거나, 암호화폐 거래 앱을 가짜로 만들어 퍼트리는 수법을 주로 활용했는데 최근에도 그 모습에는 변함이 없다.
최근 발견된 맥OS 멀웨어가 활용된 공격은 다음과 같은 시나리오로 진행됐다.
1) 라자루스가 새로운 웹사이트인 unioncrypto.vip를 만들었다.
2) 이 사이트에 접속하면 104.168.167.16이라는 IP 주소로 연결된다.
3) 위 주소로 들어갈 경우 악성 파일이 다운로드 되기 시작한다.
이 악성 파일은 UnionCryptoTrader.dmg라는 이름을 가진 디스크 이미지 파일이다. 서명되지 않은 패키지 하나가 내포되어 있다. 따라서 이 dmg 패키지가 사용자 시스템에서 실행될 때 경고 메시지가 뜰 수밖에 없다.
보안 전문가 패트릭 워들(Patrick Wardle)이 추적한 바에 의하면 “그런 경고 메시지를 잘 읽어보지 않는 사용자들이 많고, 실제 이미 이 악성 애플리케이션이 최소 1번 이상 다운로드 된 상태”라고 한다. 물론 다운로드 받은 사람이 서명되지 않은 패키지를 설치까지 했는지는 확실히 알 수 없다.
“패키지를 분석했더니 포스트인스톨 스크립트(postinstall script)가 나왔습니다. 이 스크립트의 기능은 어떤 론치 데몬(launch daemon)을 지속적으로 설치하는 것입니다. 이를 성공적으로 실행시키기 위해서 공격자에게는 루트 접근 권한이 필요하며, 이를 얻기 위해 사용자더러 크리덴셜을 입력하라는 프롬프트 창을 띄우기도 합니다.”
모든 것이 성공적으로 진행될 경우 RunAtLoad 킷값이 “true”로 설정되고, 따라서 맥OS가 부팅될 때마다 바이너리가 자동으로 실행된다. “이렇게 론치 데몬을 설치하는 것과, 그 론치데몬의 plist와 바이너리가 애플리케이션의 자원 디렉토리에 숨겨진 채 저장되어 있는 것 모두 라자루스가 항상 보여오는 수법입니다.” 워들의 설명이다.
여기까지 진행되는 동안 대부분의 사용자들은 암호화폐 거래소에서 거래 앱을 설치한 것으로만 이해한다. 그러는 동안 멀웨어는 시스템 정보를 수집하고 C&C 서버와의 통신을 시도한다. 접속하려 했던 C&C 서버가 0이라는 응답을 보내지 않을 경우, 연결은 실패하고, 멀웨어는 로컬에 이미 다운로드 되어 있던 페이로드를 실행시키기 시작한다.
이 시점까지는 라자루스가 전부터 사용해왔던 맥OS용 멀웨어와 크게 다르지 않다. 하지만 이전 버전과 이번 버전의 가장 큰 차이는 미리 다운로드 되어 있던 페이로드를 ‘메모리에서’ 실행시킨다는 것이다. “라자루스가 메모리 내에서만 악성 동작을 실행시키는 방법을 새롭게 터득한 것으로 보입니다. 따라서 공격은 더 은밀해졌습니다.”
워들은 “이게 간단한 업그레이드가 아니”라고 설명을 덧붙이기도 했다. “이미 보안 전문가들 사이에서 공개된 맥OS용 멀웨어 중에서 이렇게까지 고급 기능이 추가된 걸 본 적이 없습니다. 북한 해커들의 실력이 얼마나 빠르게 좋아지고 있는지 보여주는 사례입니다.”
3줄 요약
1. 라자루스가 작년부터 사용하던 맥OS용 멀웨어, 업그레이드 됨.
2. 악성 페이로드를 실행시킬 때 메모리 내에서만 실행하는 기능임.
3. 암호화폐 거래소와 고객 모두 노리는 악명 높은 집단, 더 은밀해짐.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
