2018년부터 시작한 국가 보안 강화 프로젝트의 일환으로 멀웨어 샘플 공개
총 6개의 샘플이 공개되고 분석돼...대부분 원격 정보 수집 및 접근 가능케 해줘

[보안뉴스 문가용 기자] 미국의 사이버 사령부(USCYBERCOM)가 바이러스토탈(VirusTotal)에 새로운 멀웨어 샘플을 업로드 했다. 사령부 측은 이 샘플이 북한의 해킹 단체인 라자루스(Lazarus)의 것이라고 소개했다.


미국 사이버 사령부는 2018년 11월부터 ‘사이버 국가 임무군(Cyber National Mission Force, CNMF)’이라는 프로그램을 진행 중이다. 북한, 러시아, 이란의 해커들이 사용하는 악성 파일들을 공유함으로써 국가의 방어력을 높인다는 게 이 프로그램의 취지다. 지난 9월에는 이 프로그램의 일환으로 북한 라자루스의 멀웨어 샘플 11개를 공개하기도 했다.

이번에 공개한 라자루스의 멀웨어 샘플은 총 6개로, 2개는 2019년 여름에, 2개는 2018년 2월에, 1개는 2017년 9월에, 나머지 1개는 2016년 10월에 만들어진 것으로 보인다. 사이버 사령부는 이 멀웨어들이 현재도 피싱 및 원격 접근 공격에 활용되고 있고, 라자루스는 이를 활용해 각종 불법 행위를 일삼고 있다고 설명했다.

여섯 개 샘플은 다음과 같다.
1) 아트풀파이(ARTFULPIE) : 하드코드 된 URL로부터 DLL 파일을 가져오는 기능을 수행하는 임플란트다. DLL 파일은 메모리에서 로딩 및 실행된다.
2) 핫크로아상(HOTCROISSANT) : 시스템에 침투해 핑거프린팅, 파일 업로드 및 다운로드, 프로세스 및 명령 실행, 스크린샷 캡쳐 등의 기능을 실행한다.

3) 크라우디드플라운더(CROWDEDFLOUNDER) : 원격 접근 트로이목마(RAT) 바이너리를 압축 해제한 후 메모리에서 실행시키며, 프록시로서의 기능을 발휘해 명령을 실행한다.
4) 슬릭슈즈(SLICKSHOES) : 시스템 정보 수집, 파일 업로드 및 다운로드, 명령 실행, 스크린샷 캡쳐 등의 기능을 실행한다.

5) 비스트로매스(BISTROMATH) : 원격 접근 트로이목마로, 시스템 정보 수집, 파일 업로드 및 다운로드, 명령 실행, 마이크로폰 모니터링, 클립보드 모니터링, 화면 모니터링 등의 기능을 실행한다.
6) 부페라인(BUFFETLINE) : 파일 다운로드, 업로드, 삭제, 실행을 할 수 있으며, 프로세스를 만들거나 삭제하는 것도 가능하다. 윈도우 CLI에 대한 접근도 가능하게 만든다.

미국 국토안보부 산하 사이버 보안 담당 기관인 CISA는 위 여섯 개 샘플에 대한 상세 분석 보고서를 발표하고, 거기에 더해 이전에 발표됐던 원격 접근 트로이목마인 홉라이트(HOPLIGHT)에 대한 내용을 업데이트 했다. 홉라이트는 일부 백신 및 안티 멀웨어 엔진에서 뉴크스페드(NukeSped)라는 이름으로 탐지되기도 한다.

바이러스토탈에 미국 사이버 사령부가 올린 내용은 여기(https://www.virustotal.com/gui/user/CYBERCOM_Malware_Alert/)서 열람이 가능하고, CISA가 발표한 멀웨어 분석 보고서는 여기(https://www.us-cert.gov/ncas/analysis-reports)서 열람이 가능하다.

3줄 요약
1. 2018년 말부터 멀웨어 샘플을 민간 부문과 공유하는 미국 사이버 사령부.
2. 최근 북한 라자루스의 무기로 보이는 멀웨어 샘플 6개를 바이러스토탈에 업로드.
3. CISA는 여기에 맞춰 각 멀웨어에 대한 분석 보고서를 함께 발표.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>