북한의 TA444가 또 일을 냈다. 맥OS용 백도어를 새롭게 만들어 활동을 재개한 것이다. 아직 이렇다 할 멀웨어 파워하우스가 없는 맥OS 생태계이기에 TA444의 이러한 행보는 더욱 눈에 띈다.

[보안뉴스 문가용 기자] 북한 정부의 지원을 받고 있는 해킹 단체 TA444가 다시 활동을 시작했다. 맥OS 사용자들을 노릴 수 있을 만한 새로운 도구를 들고 나타났는데, 이 도구의 이름은 스펙트럴블러(SpectralBlur)다. TA444가 스스로 개발한 것으로 추정된다.


TA444는 원래부터 꾸준히 스스로의 멀웨어를 개발해 온 것이 특징인 APT 단체다. 이들이 잠시 사라졌다는 건 십중팔구 새로운 도구를 개발하는 중이라는 뜻이다. 그러한 패턴이 이번에도 다시 한 번 드러났다. 최근 잠깐 활동을 중단하는 듯 하더니 곧바로 새 도구를 들고 나타난 것이다.

참고로 TA444는 APT38, 블루노로프(BlueNoroff), 블랙알리칸토(BlackAlicanto), 코페레니컴(Coperenicum), 사파이어슬리트(Sapphire Sleet), 스타더스트철리마(Stardust Chollima)라는 이름으로도 불린다.

보안 업체 프루프포인트(Proofpoint)의 위협 연구원인 그렉 레스뉴이치(Greg Lesnewich)에 의하면 TA444가 스펙트럴블러라는 도구를 처음 활용한 건 이미 지난 8월의 일이라고 한다. “일종의 백도어로, 파일을 업로드 및 다운로드 할 수 있고, 셸도 실행시킬 수 있으며, 설정도 바꿀 수 있고, 파일을 삭제할 수도 있습니다. 활동을 완전히 중단해 탐지되지 않은 채 오랜 기간 피해자 시스템에 머무를 수도 있고요.”

TA444는 북한의 또 다른 APT 단체인 라자루스(Lazarus)와 여러 면에서 겹치는 특성들을 보여주기도 한다. “예를 들어 이번에 새로 발견된 스펙트럴블러 멀웨어에는 캔디콘(KandyKorn)이라는 맥OS용 데이터 탈취 도구와 비슷한 코드 구성을 가지고 있습니다. 캔디콘은 지난 해 11월 라자루스 그룹이 제일 먼저 사용하기 시작한 멀웨어입니다. 당시 암호화폐 거래소 등이 주요 표적이 됐었죠. 이 캔디콘이 스펙트럴블러와 유사한 것은 우연이 아닙니다.”

스펙트럴블러는 맥OS 사용자들을 노리는 여러 멀웨어 중 하나다. 맥OS는 여지껏 상대적으로 멀웨어가 적은 환경이었다. 기껏해야 애드웨어 정도가 전부였다. 하지만 북한의 해킹 단체들을 필두로 보다 발전된 유형의 멀웨어들이 등장하고 있다. 레스뉴이치는 “북한 해커들 중에서도 TA444는 커스텀 멀웨어 제작으로 일가견이 있기 때문에 특히 주의해야 한다”고 말한다.

“맥OS 환경에서는 여태까지 심각한 멀웨어가 많이 나타나지 않았습니다. 요즘 해커들은 다크웹에서 멀웨어를 구매해서 사용한다고 하지만 맥OS 환경을 겨냥한 공격이라면 사정이 조금 다릅니다. 구매할 만한 게 많지 않기 때문입니다. 그래서 만들어 쓰는 게 더 나을 때가 많죠. 즉 아직은 스스로 멀웨어를 개발할 줄 아는 조직들이 더 유리할 수 있는 환경이 맥OS라는 겁니다. TA444에게는 안성맞춤인 곳이죠.”

윈도나 안드로이드 환경에서도 초기에는 해커들마다 독특한 멀웨어를 직접 만들어 사용했다. 그러면서 멀웨어의 수가 늘어나고, 개발 노하우가 쌓여 지금의 다크웹 시장이 만들어졌다. “맥OS도 비슷한 수순을 밟아가고 있는 것일 수 있습니다. 기성품 멀웨어가 흔하게 나타날 때까지는 TA444가 꽤나 유리한 고지에서 이 환경을 위협할 거라고 봅니다. 맥OS를 주로 사용하는 기업이나 기관이라면 북한 해커들의 움직임에 민감해져야 할 것입니다.”

3줄 요약
1. 북한의 사이버 해킹 단체 TA444, 새 도구 들고 등장.
2. 이번에는 맥OS용 백도어로, 이름은 스펙트럴블러.
3. 라자루스가 사용하는 캔디콘 멀웨어와 유사한 점 많음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>