카스퍼스키 글로벌 연구 분석팀(GReAT)이 최근 북한과 연계된 해킹 조직 라자루스(Lazarus)가 새로운 모듈식 백도어 ‘CookiePlus’를 발견했다. 이를 사용해 핵 관련 조직 직원들을 대상으로 한 사이버 공격을 감행했다고 밝혔다.
이번 공격은 ‘Operation DreamJob’ 또는 ‘DeathNote’로 알려진 라자루스 캠페인의 일환으로, 2019년부터 시작돼 암호화폐 관련 기업이 주 표적으로 삼아졌다. 작년을 기점으로 유럽, 라틴아메리카, 한국, 아프리카의 IT 및 방위 산업 기업으로 대상이 확대되면서, 최근에는 브라질 핵 관련 조직과 베트남의 특정 산업 분야 직원들이 표적이 됐다.
공격자는 유명 항공우주 및 방위 기업 IT 직책을 위한 기술 평가로 위장한 손상된 압축 파일로 악성 코드를 배포했다. 이는 LinkedIn 같은 구직 플랫폼을 주요 경로로 전달된 것으로 추정된다. 감염 체인은 다운로더·로더·백도어 등 다양한 악성 소프트웨어를 포함한 복잡한 구조로 이루어져 있고, 변조된 VNC 소프트웨어와 다른 합법적인 VNC 도구를 활용해 다단계 공격을 수행했다.
특히 새롭게 발견된 ‘CookiePlus’ 백도어는 오픈 소스 Notepad++ 플러그인인 ComparePlus로 위장돼 있었다. 이 백도어는 ‘시스템 정보 수집’, ‘메인 모듈의 실행 일정 조정’, ‘특정 시간 동안 대기 상태 유지’ 등 다양한 기능을 수행한다.
류소준 카스퍼스키 글로벌 연구 분석팀 책임은 “Operation DreamJob은 민감한 시스템 정보를 수집해 개인정보 도용이나 스파이 활동에 악용되기 때문에 큰 위험을 동반한다”며 “해당 악성 코드는 행동을 지연시켜 침투 직후 탐지를 피하고 시스템에 오랜 시간 동안 남을 수 있게 한다. 특정 실행 시간을 설정함으로써 주기적으로 작동해 눈에 띄지 않게 해 시스템 프로세스를 조작해 탐지를 더욱 어렵게 만들고 추가적인 피해나 악용을 초래할 수 있다”고 경고했다.
이효은 카스퍼스키 한국 지사장은 “라자루스 그룹은 오랫동안 글로벌 사이버 보안에 큰 위협을 주는 존재로 인식됐다”며 “이번 Operation DreamJob의 진화는 그들의 끈질긴 작전과 핵· 방위·IT 등 중요한 산업을 겨냥한 전략적인 접근 방식을 잘 보여준다”고 말했다. 이어 “조직들은 위협 정보를 활용하고 고급 사이버 보안 솔루션으로 이들의 전술을 앞서 나가야 한다”고 덧붙였다.
헬로티 구서경 기자 |
