보안 / 해킹 북한 추정 ‘라자루스’ 해커조직, 한국 인터넷 커뮤니티서 악성 파일 유포 2...

2020.06.30 00:50

자위의여신상 조회:5043 추천:4

미국이 기소한 북한 해커 박진혁 소속 라자루스 그룹... 국내 PC 및 IT분야 마니아 층 공격 포착
인터넷 커뮤니티 자료실에 은밀히 악성코드 유포... 해외는 주로 항공 및 방위산업체 대상 스피어 피싱 공격
지난 4월 1일 인천시 코로나 바이러스 감염병관리지원단 사칭 공격의 연장선 분석

[보안뉴스 원병철 기자] 지난 6월 22일 오전 한국의 특정 인터넷 커뮤니티 자료실을 통해 마치 유용한 프로그램처럼 위장한 악성 파일이 불특정 다수에게 무차별 유포됐다고 통합보안 기업 이스트시큐리티(대표 정상원)가 밝혔다.


▲유명 인터넷 포럼 자료실에 등록된 악성파일 화면[자료=이스트시큐리티]

해당 악성 파일이 포함된 게시물은 22일 오전 8시 49분경 등록되었고, 당일 기준 약 1,600여 명이 조회한 것으로 확인됐다. 악성 파일은 ‘시력 보호 프로그램’을 사칭하고 있으며, 23일 오전 기준 게시물은 삭제된 상태다.

이스트시큐리티 시큐리티대응센터(ESRC)는 공격자가 기존의 정상 프로그램을 임의로 변조해 파일 내부에 악성코드를 추가로 삽입했고, 설치 및 삭제 과정에서 악성코드가 은밀히 작동되도록 정교하게 기능을 추가한 것으로 분석했다. 만약 해당 자료실에 등록된 프로그램을 다운로드해 실행하게 될 경우, 자신도 모르게 악성 프로그램에 감염돼 잠재적인 사이버 위협에 노출될 우려가 있다. 다만, 해당 악성코드가 윈도 64비트 OS 기반으로 제작되어 사용 환경에 따라 다소 차이가 발생할 수 있고, 변종에 따라 32비트도 감염될 수 있다.

아울러 이번 악성 파일을 심층 분석한 결과, 미국이 북한 해킹조직으로 지목한 ‘라자루스(Lazarus)’ 그룹의 소행으로 조사됐다. 이들은 美 재무부로부터 제재 대상인 해킹 조직으로 미국에선 ‘히든 코브라’라는 이름으로도 통용되며, 최근까지 국내외에서 매우 활발한 사이버 위협 활동을 펼치고 있는 것으로 악명이 높다.

국내는 주로 비트코인 등 암호 화폐 거래 관계자를 표적으로 삼고 있고, 해외는 항공 및 군 관련 방위산업체 분야를 주요 공격대상으로 위협 활동을 펼치고 있다. 특히, 지난 4월 1일 △감염병관리지원단을 사칭해 ‘인천광역시 코로나바이러스 대응’이라는 이메일 제목으로 악성 HWP 파일을 첨부해 공격한 사례가 이번 악성 파일과 코드 유사도가 매우 높은 것으로 분석됐다. 또한, 이러한 공격 수법은 2020년 상반기에 더욱 기승을 부리고 있어 주목된다. 그리고 △블록체인 소프트웨어 개발 계약서 △비트코인 투자 카페 강퇴&활동정지 △국내 비트코인 거래소 지원서 사칭 △부동산 투자문건 사칭 등도 이번 위협의 연장선으로 조사됐다.

특히, 이번 악성 파일은 정상적인 실행 프로그램 중간에 Base64로 인코딩된 악성코드를 강제 삽입해 설치 과정 중 마치 임시 파일이 생성되는 것처럼 보이도록 만든 특징도 갖고 있다.

이스트시큐리티 ESRC센터장 문종현 이사는 “라자루스 조직원들이 스피어 피싱 기반 APT 공격뿐만 아니라, 유명 인터넷 커뮤니티 자료실에 악성 파일을 심는 과감한 공격 전술을 구사하고 있어 커뮤니티 이용자의 각별한 주의가 요구된다”며, “또한, 이 악성 파일은 이스트시큐리티에서 올해 상반기 공개했던 라자루스 공격 관련 여러 악성 파일과 코드 유사성이 거의 일치한다”고 설명했다.

현재 이스트시큐리티는 자사 백신 프로그램 알약(ALYac)에 이번 악성 파일을 탐지, 차단할 수 있도록 긴급 업데이트를 완료했으며, 이와 동시에 피해 방지를 위해 관련 부처와 긴밀한 대응 공조 체제도 가동하고 있다고 밝혔다.
번호 제목 글쓴이 조회 등록일
[공지] 최신정보 이용 안내 gooddew - -
5672 윈도우 / MS| 한컴, '한컴구름' OS 출시…일반소비자에 무료 배포 [4] new 자위의여신 1474 14:30
5671 서버 / IT| openSUSE Leap 15.2 배포판 출시 [3] VenusGirl 2374 07-02
» 보안 / 해킹| 북한 추정 ‘라자루스’ 해커조직, 한국 인터넷 커뮤니티서 ... [6] 자위의여신 5043 06-30
5669 서버 / IT| Linux Mint 20 Ulyana 출시 [2] VenusGirl 1940 06-28
5668 모 바 일| 디지털 비대면 행정서비스 전면적으로 확대한다 [4] 롯데자위언 2113 06-24
5667 소프트웨어| 어도비 "PC에 깔린 플래시, 연말까지 지워야" [1] 올씨 6184 06-22
5666 윈도우 / MS| KMSpico 윈도 정품 인증툴로 위장 Domino 랜섬웨어…주의 [6] 하늘참맑다 4616 06-22
5665 업체 소식| 싸이월드 한달 ‘시한부’…“7월 진짜 종료·백업공지” [10] MayBee 2145 06-19
5664 윈도우 / MS| 20H1 & 20H2 누적 업데이트 19041.331 (2020-06-18) [19] 디폴트 4393 06-19
5663 윈도우 / MS| Server 2016 / Windows 10 OLD 누적업데이트 [1] 디폴트 701 06-19
5662 소프트웨어| 드디어 ‘누끼’ 자동으로 따지나, 어도비 CC 대규모 업데이트 [6] 큰돌 3438 06-18
5661 윈도우 / MS| Windows 10 20H1 -> 20H2 Update [7] 디폴트 4775 06-17
5660 서버 / IT| CentOS 8.2.2004 출시 VenusGirl 1049 06-17
5659 윈도우 / MS| 비정기 누적업데이트 (2020-06-16) [2] 디폴트 2108 06-17
5658 소프트웨어| 중국산 OS' 다운로드 8천만 회 넘었다 [6] 자위의여신 2955 06-17
5657 윈도우 / MS| MSDN - Windows 10 & Server (Updated June 2020) [2] 디폴트 1360 06-17
5656 업체 소식| 시놀로지, 안정성과 성능 높인 SSD 제품군 출시 [2] 자위의여신 1639 06-16
5655 서버 / IT| [기획] 복잡한 데이터백업, NAS로 손쉽게 해결…시놀로지의 ... [5] 롯데자위언 2096 06-13
5654 모 바 일| 면허증이 휴대폰에 쏙…24일부터 운전면허증’ 도입 [5] 자위의여신 3239 06-13
5653 윈도우 / MS| MS, 윈도우 10 '가상화 기능' AMD 라이젠으로 지원 확대 [3] 큰돌 2833 06-12
XE1.11.6 Layout1.4.8