‘록랫’, 북한인권단체 대상으로 유포…클라우드 플랫폼 C&C로 사용
북한 인권 관련 내용을 담은 한글 악성문서가 유포되고 있어 사용자들의 주의가 요구된다.
시스코 인텔리전스 그룹 탈로스(Talos)에 따르면 올해 초 유행한 ‘록랫(ROKRAT)’ 악성코드 변종이 최근 북한 인권 관련된 내용으로 위장한 한글 문서에 포함돼 다시 유포되고 있다. 이 문서는 북한 인권 및 한반도 통일을 위한 시민 연대(올인통)를 대상으로 유포된 문서로 보이며, 북한의 상황에 관심을 갖도록 유도하고 있다.
탈로스는 올해 초 북한 관련 내용을 담은 한글 악성문서 이용 공격 2건을 발견해 보고한 바 있으며, 그 중 하나가 ‘사악한 새해(Evil New Years)’, 또 다른 하나가 록랫이다. 사악한 새해는 웹사이트를 통해 악성 페이로드를 받도록 하는 워터링홀 공격으로, 공격에 이용된 웹사이트에는 정부 사이트도 있었다.
11월 다시 발견된 록랫 변종은 이전에 발견된 것과 동일한 정찰 코드를 포함하고 있으며, 사악한 새해 샘플이 사용한 것과 유사한 PDB 패턴이 발견됐다. 록랫이 사용한 방법과 동일한 클라우드 기능 및 유사한 복사-붙여넣기를 포함하고 있다.
클라우드 플랫폼을 C&C로 사용하지만 완전히 동일하지는 않는다. 이번에 발견된 것은 피클라우드, 박스, 드롭박스, 얀덱스를 이용하고 있다. 더불어 프리밀크(FreeMilk) 캠페인에서 사용되는 다운로더인 프리키(Freenki)와 코드를 공유하고 있다.
저작권자 © 데이터넷 무단전재 및 재배포 금지
