얼리랫이라는 새 멀웨어, 북한 라자루스의 하위 그룹 안다리엘이 활용 중

요약 : 보안 외신 블리핑컴퓨터에 의하면 얼리랫(EarlyRAT)이라는 신규 멀웨어가 최근 발견됐다고 한다. 북한 라자루스(Lazarus)의 하위 그룹인 안다리엘(Andariel)이 사용하고 있는 것으로 조사됐다. 보안 업체 카스퍼스키(Kaspersky)에 따르면 얼리랫은 매크로를 발동시키는 피싱 문서를 통해 퍼지는데, 현재 얼리랫이 호스팅 되어 있는 서버는 이전에 마우이(Maui)라는 랜섬웨어가 호스팅 되어 있던 곳이었다고 한다. 얼리랫은 피해자의 시스템 정보를 수집해 공격자에게 전송한다.


배경 : 안다리엘은 스톤플라이(Stonefly)라고도 불리며, 디트랙(DTrack)이라고 하는 모듈 구성 백도어를 즐겨 사용하는 그룹으로 알려져 있다. 이런 백도어를 통해 피해자 시스템에 저장된 여러 가지 정보를 탈취한다. 얼리랫은 라자루스가 자주 사용하는 멀웨어인 매직랫(MagicRAT)과도 흡사한 모습을 보인다고 한다.

말말말 : “얼리랫은 수동으로 운영되는 듯합니다. 얼리랫을 통해 명령이 전달되는데, 사람이 직접 타이핑을 하는지 오타가 자주 납니다. 너무 자주 나서 컴퓨터를 다루는 것 자체가 힘든 사람이 아닌가 싶을 정도입니다.” -카스퍼스키-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>