북한 해킹 그룹이 러시아, 캄보디아 정치인을 타깃으로 사이버 공격을 시도한 정황이 발견됐다.
팔로알토네트웍스의 위협 인텔리전스 연구소인 유닛42에 따르면 북한 해킹그룹으로 알려진 ‘리퍼(Reaper)’가 러시아와 캄보디아 정치인들을 타깃으로 시도한 공격에 멀웨어 ‘노키(NOKKI)’를 사용한 것으로 알려졌다.
리퍼 그룹은 군사 방위 산업 등의 조직을 타깃으로 하며, 국내 기업은 물론 중동 지역과도 연관돼 있는 것으로 알려져 있다. 이 그룹은 커스텀 멀웨어 도그콜(DOGCALL)을 사용하는데, 원격 접속 트로이목마(RAT)인 도그콜은 데이터를 업로드하고 명령을 수신하기 위해 써드파티 호스팅 서비스를 이용한다. 현재까지 알려진 바에 따르면 이 멀웨어 제품군을 사용하는 공격 그룹은 리퍼가 유일하다.
유닛42은 이에 ‘노키’와 ‘도그콜’ 멀웨어의 상관관계를 밝혀내고, 이전에 보고된 적 없는 멀웨어 제품군이 도그콜을 배포하는데 사용된 정황에 대해서 분석했다.
이번 분석 조사에 따르면 2018년 7월부터 시작된 가장 최근의 공격 집단이 마이크로소프트 워드 문서 내의 악성 매크로를 이용한 것으로 나타났다. 본질적으로 크게 복잡하지 않은 이 특정 매크로들은 실행가능한 멀웨어를 다운로드 받아 실행하고, 마이크로소프트 암호 해독 문서를 다운로드 받아 열기를 시도한다.
이 매크로는 탐지를 피하기 위해 특정 문자열의 간단한 난독화를 사용하고, 최종적으로는 base64 인코딩만 사용했다. 그러나 이 과정에서 사용된 독특한 방법은 base64 인코딩 텍스트를 hex로 1차 변환 후 hex를 text로 다시 변환했다.
노키에 대한 모든 샘플에 대해 이러한 고유의 난독 기술을 검색한 결과 또 하나의 특이점이 발견됐다. 원래의 파일 이름을 바탕으로, 2018년 러시아에서 개최된 월드컵에 관심이 있는 사람들을 대상으로 하는 이 악성 프로그램 샘플을 추측할 수 있었으며, 고유의 난독 기술이 제작자 코멘트를 포함한 샘플에 사용된 루틴과 일치했다.
코드 중복 및 북한 관련 멀웨어 코니(KONNI)와의 연관성을 지닌 신종 멀웨어 제품군 ‘노키’에 대한 조사에서 시작된 이번 연구를 통해 팔로알토 네트웍스는 노키 제품군이 리퍼 공격 그룹과 연관되어 있음을 확인했다. 매크로 관계는 미약한 수준이나 북한 관련 유인물 정보 및 도그콜 멀웨어 페이로드(payload) 등의 특이점이 발견되었으며, 이전에 공개되지 않은 추가 멀웨어 제품군(Final1stspy)이 밝혀졌다.
유닛42는 “이번 위협에 대해 지속적인 모니터링 및 리포트를 제공할 예정이며, 팔로알토 네트웍스의 고객들은 다음과 같은 보안 체계를 통해 위협으로부터 안전하게 보호되고 있다”고 밝혔다.
