국가의 지원을 받지만 금전적인 목표를 가지고 공격하는 라자루스
공격 방법이나 코드에서 이전 라자루스 흔적들 발견돼

[보안뉴스 문가용 기자] 북한의 해킹 그룹이라고 알려진 라자루스(Lazarus)가 중앙아메리카에 있는 온라인 카지노를 공격한 것으로 보인다고 보안 업체 이셋(ESET)이 발표했다. 라자루스는 방글라데시중앙은행의 미국 FRB 계정에서 8천 1백만 달러를 훔친 것으로 유명한 그룹이다. 뿐만 아니라 세계 곳곳의 암호화폐 거래소 해킹 사건의 유력한 용의자이기도 하다.


이셋에 의하면 라자루스는 작년에 있었던 한 온라인 카지노 해킹 사건 역시 라자루스(혹자는 히든코브라(Hidden Cobra)라고 부르기도 한다)의 짓이라고 한다. 그 근거는 공격에 사용된 툴셋이 유사하고 파괴형 멀웨어인 킬디스크(KillDisk)가 발견되었다는 것이다. 라자루스는 스스로 만든 툴을 활용하기도 하고 깃허브 등에서 제공되는 여러 유료 및 무료 프로젝트를 사용하기도 한다.

문제의 온라인 카지노를 공격한 해커들이 사용한 툴들은 거의 대부분 정상적인 윈도우 서비스처럼 보이며, 관리자 권한을 필요로 한다고 이셋은 설명한다. 즉 권한을 취득하는 공격을 선행한 후 본격적인 공격을 시작했다는 것이다.

이런 툴들 중 하나는 뉴크스페드(NukeSped)라고 한다. TCP 백도어로 처음 실행될 때 필요한 DLL 이름들을 리졸브시키는 기능을 가지고 있다. 또한 윈도우 API의 절차 이름(procedure name)을 역동적으로 구성한다. 특정 포트를 계속해서 주시하고 있어 방화벽에 의해 막히지 않도록 한다.

뉴크스페드는 20개의 명령을 지원하기도 한다. 이 명령을 통해 공격자들은 시스템에 대한 정보를 모으거나 파일을 검색해서 찾거나, 프로세스를 만들거나, 파일을 드롭시킬 수 있게 된다. 이셋은 이 20개의 명령들이 이전에 분석된 라자루스 샘플들에서 발견된 것과 상당히 유사하다고 강조한다.

그 외에도 이셋은 세션 하이재킹 툴, 현재 로그인 된 사용자가 만든 듯한 프로세스를 생성하는 기능을 가진 콘솔 애플리케이션도 하나씩 발견할 수 있었다. 이러한 기능들은 TCP 백도어인 뉴크스페드가 공격자로부터 명령을 받아서 할 수 있는 것들이기도 하다. 또한 몇몇 스위치들을 받아들일 수 있는 간단한 명령행 툴도 발견했는데, 이 툴은 프로세스를 주입하거나 종료시키고, 서비스를 종료시키거나 재설치하고, 파일을 드롭하고 삭제하는 기능을 가지고 있다.

킬디스크의 경우 두 가지 변종이 발견됐다. 하지만 2015년과 2016년 우크라이나 정전 사태 때 발견된 킬디스크와는 크게 관련이 없어 보인다고 한다. 우크라이나 정전 사태는 러시아의 소행인 것으로 알려져 있다.

킬디스크 변종들은 카지노 네트워크 상에 있는 기기 약 100대에서 발견됐다. 정보 수집 행위를 감추거나 피해자를 협박하거나 온라인 카지노 사업 자체를 방해하려는 목적으로 활용할 수 있다고 이셋은 분석한다. “이전에 라틴아메리카 지역의 금융 기관들을 킬디스크가 공격한 적이 있습니다. 이번에 발견된 킬디스크와 비교했을 때 코드 유사성이 도드라지게 나타납니다.”

이셋의 분석에 따르면 공격자들은 온라인 카지노를 공격하는 상황에서 미미캣츠(Mimikatz)라는 윈도우 크리덴셜 수거 툴도 사용했다. 이 때 인기가 높은 웹 브라우저에서 비밀번호를 복구시키는 툴도 함께 사용했다. 이 툴의 경우 2014년 12월에 만들어진 버전이지만 크롬, 크로미움, 엣지, 인터넷 익스플로러 모두에서 작동한다.

공격자들은 악성 드로퍼와 로더를 활용해 툴들을 피해자 시스템에 다운로드 하고 실행했다. 이 때 원격 접근 툴인 라드민3(Radmin3)과 로그미인(LogMeIn)이 사용됐다.

이셋은 “중앙아시아의 온라인 카지노를 겨냥한 공격을 분석하며 라자루스가 툴셋을 늘 새롭게 조합하고 구성한다는 걸 알 수 있었다”고 정리한다. “공격 자체는 매우 복잡하게 진행됐습니다. 여러 단계를 거쳐 천천히 시스템에 스며들어갔죠. 이 모든 것이 들키지 않기 위함인 것으로 보입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>