3월 초부터 터기 금융권 겨냥한 정교한 피싱 공격...SWIFT 연상케 해
피싱용 첨부 파일엔 암호화폐 관련 내용이...북한의 최신 기법

[보안뉴스 문가용 기자] 북한의 악명 높은 해킹 그룹인 히든 코브라(Hidden Cobra)가 다시 한 번 보안 업계의 주목을 받고 있다. 금융 기관을 겨냥한 멀웨어 공격의 주범으로서 말이다. 올해 3월 히든 코브라는 터키의 금융 기관을 표적 삼아 스피어피싱 공격을 진행한 것으로 보인다.


이는 보안 업체 맥아피(McAfee)가 자사 블로그를 통해 공개한 내용이다. 맥아피는 “DLL 멀웨어 임플란트인 뱅크샷(Bankshot)이 다시 한 번 나타난 것을 발견했다”며 “이 임플란트는 히든 코바르 혹은 라자루스 그룹(Lazarus Group)이 사용하는 것으로 알려진 것”이라고 설명했다. 뱅크샷은 직난 후반기에 처음 모습을 드러낸 멀웨어다.

이를 발견한 맥아피의 수석 분석가 라이언 셔스토비토프(Ryan Sherstobitoff)는 “3월 2일과 3일, 공격적인 피싱 캠페인이 다수 진행됐으며, 전부 터키 정부가 통제하는 금융 기관들이었다”고 설명한다. 대략 5군데 정도가 공격을 받았다.

맥아피의 보고서에 의하면 이 공격은 과거 라자루스 그룹이 SWIFT라는 국제 은행 간 통신 시스템을 공격한 사례를 연상시킨다고 한다. “코드가 상당히 흡사하고 제어 서버 문자열을 사용합니다. 피싱 이메일에는 마이크로소프트 워드 문서가 첨부되어 있고, 이 문서는 최근 패치된 플래시 플레이어의 취약점인 CVE-2018-4878을 공략합니다. 이 취약점은 최근 북한이 한국을 겨냥해 제로데이 공격을 펼쳤을 때 익스플로잇 된 것이기도 합니다. 이 역시 북한의 개입 가능성을 높이는 부분이죠.”

2017년 12월 미국 CERT는 뱅크샷과 관련한 분석 보고서를 발표한 바 있다. 당시 보고서는 뱅크샷을 “트로이목마형 멀웨어 변종으로 피해자의 네트워크에 머물러 더 많은 공격을 하기 위한 프록시 서버와 연계되어 있다”고 설명했었다. 또한 정상적인 SSL 인증서를 사용하여 TLS 핸드셰이크 세션을 가짜로 만들고, 멀웨어와 원격 서버 간 트래픽을 감추는 것으로도 알려졌다.

맥아피는 “금융권에 대한 공격에 뱅크샷 변종이 직접 활용된 것은 이번이 처음”이라고 설명한다. “뱅크샷은 공격자에게 피해 시스템에 대한 완전 통제권을 부여합니다. 또한 파일 삭제 기능도 있어 증거를 지우는 것도 가능합니다. 물론 시스템을 완전히 마비시키는 것도 가능하고요.”

이 마이크로소프트 워드 문서는 2월 26일에 만들어진 것으로 비트코인과 관련된 제목을 가지고 있다. “최근 북한 공격자들은 암호화폐와 관련된 제목과 내용을 피싱 메일에 많이 차용하는 추세이기도 합니다.”

이 문서 안에 엠베드 된 플래시 스크립트는 상기했듯 CVE-2018-4878을 익스플로잇 한다. falcancoin.io라는 도메인으로부터 뱅크샷을 다운로드 받고 실행하는 것이 주요 기능이다. 도메인 이름부터 팔콘이라는 암호화폐 코인을 연상시킨다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>