세계적으로 악명 높은 사이버 공격 그룹 라자루스(Lazarus)가 암호화폐 탈취를 위해 거래소를 해킹하는 ‘애플제우스(AppleJeus)’ 공격 활동을 벌이고 있는 것으로 드러났다. 이 공격은 윈도우 뿐만 아니라 맥OS 플랫폼까지 공격할 수 있는 것으로 분석됐으며, 북한과도 연관돼 있는 것으로 나타났다.
카스퍼스키랩 글로벌 리서치앤분석팀(GReAT)에 따르면 공격자들은 트로이 목마화된 암호 거래 소프트웨어를 사용해 아시아의 암호교환 네트워크에 침입해 암호화폐 탈취를 시도했다. 또한 C&C 서버와 통신할 때 사용되는 하드코드 헤더 문자열에 북한과 관련된 언어 코드가 발견됐으며, 일반적인 멀웨어에서 볼 수 없는 것이었다.
애플제우스 공격은 암호화폐 거래용 소프트웨어를 개발하는 회사의 웹사이트에서 새로운 버전의 프로그램을 다운로드받도록 하면서 침투를 시작한다. 정상 사이트에서 배포하는 설치파일에 악성코드를 심은 공급망 공격으로도 보이지만, 실제 유포된 프로그램을 분석하면 코드사인 인증서에 사용된 주소에서 합법적인 조직을 식별할 수 없어 공급망 공격이라기보다는 위조된 설치파일인 것으로 해석될 수 있다.
애플제우스가 설치되면 정찰 모듈로 작동하는데, 설치된 컴퓨터의 기본 정보를 수집해 C&C로 보내면 오래된 공격 도구인 ‘Falchill’이라는 트로이 목마를 추가 설치한다. Falchill은 피해 컴퓨터에 거의 무제한으로 액세스할 수 있도록 해 재무정보를 탈취할 수 있도록 한다.
비탈리 캄루크(Vitaly Kamluk) GReAT APAC 팀장은 “지난해 라자루스 운영자 서버 중 하나에 모네로 마이닝 소프트웨어가 설치된 것을 발견하고 라자루스가 암호화폐에 관심을 갖고 있다는 것을 알게 됐다. 이후 이들이 일반 금융기관은 물론이고 암호화폐 탈취를 위한 공격을 시도하는 것이 탐지됐다”며 “이번에 발견된 애플제우스는 윈도우에 이어 맥OS까지 공격할 수 있으며, 정상 소프트웨어와 구분하기 어려운 위조 소프트웨어를 만들어 공격을 시도했다. 앞으로 이러한 공격은 더욱 많아질 것”이라고 말했다.
