> 뉴스 > 뉴스 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
“북한 연관된 라자루스, 암호화폐 탈취 공격 벌여”
카스퍼스키랩, 맥OS 플랫폼까지 공격하는 ‘애플제우스’ 발견…정상 SW 설치파일 위장해 침투 시도
2018년 08월 23일 18:18:51 김선애 기자 iyamm@datanet.co.kr

세계적으로 악명 높은 사이버 공격 그룹 라자루스(Lazarus)가 암호화폐 탈취를 위해 거래소를 해킹하는 ‘애플제우스(AppleJeus)’ 공격 활동을 벌이고 있는 것으로 드러났다. 이 공격은 윈도우 뿐만 아니라 맥OS 플랫폼까지 공격할 수 있는 것으로 분석됐으며, 북한과도 연관돼 있는 것으로 나타났다.

카스퍼스키랩 글로벌 리서치앤분석팀(GReAT)에 따르면 공격자들은 트로이 목마화된 암호 거래 소프트웨어를 사용해 아시아의 암호교환 네트워크에 침입해 암호화폐 탈취를 시도했다. 또한 C&C 서버와 통신할 때 사용되는 하드코드 헤더 문자열에 북한과 관련된 언어 코드가 발견됐으며, 일반적인 멀웨어에서 볼 수 없는 것이었다.

   

▲‘애플제우스’ 공격에 이용된 악성코드에 북한과 관련된 언어 코드가 발견됐으며, 이는 일반적인 멀웨어에서 볼 수 없는 것이었다. 

애플제우스 공격은 암호화폐 거래용 소프트웨어를 개발하는 회사의 웹사이트에서 새로운 버전의 프로그램을 다운로드받도록 하면서 침투를 시작한다. 정상 사이트에서 배포하는 설치파일에 악성코드를 심은 공급망 공격으로도 보이지만, 실제 유포된 프로그램을 분석하면 코드사인 인증서에 사용된 주소에서 합법적인 조직을 식별할 수 없어 공급망 공격이라기보다는 위조된 설치파일인 것으로 해석될 수 있다.

애플제우스가 설치되면 정찰 모듈로 작동하는데, 설치된 컴퓨터의 기본 정보를 수집해 C&C로 보내면 오래된 공격 도구인 ‘Falchill’이라는 트로이 목마를 추가 설치한다. Falchill은 피해 컴퓨터에 거의 무제한으로 액세스할 수 있도록 해 재무정보를 탈취할 수 있도록 한다.

비탈리 캄루크(Vitaly Kamluk) GReAT APAC 팀장은 “지난해 라자루스 운영자 서버 중 하나에 모네로 마이닝 소프트웨어가 설치된 것을 발견하고 라자루스가 암호화폐에 관심을 갖고 있다는 것을 알게 됐다. 이후 이들이 일반 금융기관은 물론이고 암호화폐 탈취를 위한 공격을 시도하는 것이 탐지됐다”며 “이번에 발견된 애플제우스는 윈도우에 이어 맥OS까지 공격할 수 있으며, 정상 소프트웨어와 구분하기 어려운 위조 소프트웨어를 만들어 공격을 시도했다. 앞으로 이러한 공격은 더욱 많아질 것”이라고 말했다.

김선애 기자의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

  카스퍼스키랩, 맥OS, 애플제우스, 라자루스, 암호화폐, 해킹, 북한
가장 많이 본 기사
인사·동정·부음
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석 | 호스팅 사업자: (주)아이네임즈
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr