북한 해커 그룹, 암호화폐 탈취 말웨어 크게 변경

북한 정권이 후원하고 있는 것으로 알려진 라자루스(Lazarus) 해커 그룹이 암호화폐 탈취를 위해 새로운 바이러스를 유포했다.

사이버 보안 회사 카스퍼스키(Kaspersky)는 8일 라자루스가 맥과 윈도 컴퓨터를 감염시키기 위하해 그 노력을 배가하고 있다고 밝혔다.

지난 2018년 8월말  카스퍼스키가 발표한 바에 따르면 이 그룹은 '애플주스 작전(Operation AppleJeus)'라는 악성 코드를 전달 실행하기 위해 'QtBitcoinTrader'라는 오픈소스 암호화폐 거래 인터페이스 수정본을 사용하고 있다고 한다.  현재, 카스퍼스키는  라자루스가 이 말웨어를 변경하기 시작했다고 보고 하고 있다.

카스퍼스키는 전에 발견됐던 버전에 근거한 'UnionCryptoTrader'라는 이름의 맥OS 및 윈도 바이러스를 발견해냈다. 이와 함께 맥 사용자들을 겨냥한 새로운 말웨어인 'MarkMakingBot'도 발견했다. 카스퍼스키는 "라자러스가 이 MarkMakingBot 바이러스를 변경하고 있으며 맥OS 말웨어도 상당한 변경을 가하는 단계와 와 있는 것 같다"고 말했다.

카스퍼스키 연구진들은 또한 'WFCUpdater'라는 이름의 악성 파일을 통해 윈도 컴퓨터를 감염시키는 바이러스를 찾아냈으나 최초의 인스톨러를 발견하는 데는 실패했다. 카스퍼스키는 바이러스 감염이 WFC 월렛 업데이터로 가장하여 가짜 웹사이트를 통해 유포된 .NET 말웨어로부터 시작된 것 같다고 설명했다.

해커들이 말웨어 유포에 텔레그램을 이용한 듯

'UnionCryptoTrader'의 윈도 버전이 텔레그램의 다운로드 폴더에서 실행된 것으로 보이며 연구진들은 "해커가 텔레그램 메신저를 통해 조작 인스톨러를 전달한 것이 틀림없다"고 단정하고 있다.

말웨어 유포에 텔레그램이 사용됐다고 단정하는 또 다른 이유는 이 가짜 웹사이트에 텔레그램 그룹이 포함되어 있기 때문이다. 이 프로그램의 인터페이스에는 몇 군데의 암호화폐 거래소에서 비트코인(BTC)의 가격을 보여주는 그래픽 인터페이스가 들어 있다.

UnionCryptoTrader user interface screenshot

UnionCryptoTrader 사용자 인터페이스 스크린샷. 출처 : Kaspersky

UnionCryptoTrader 바이러스의 윈도 버전은 감염상태에서 인터넷 익스플로러 프로세스를 개시하여 해커의 명령에 따라 커맨드가 실행된다. 카스퍼스키는 영국, 폴란드, 러시아, 중국 등지에서 위와 같은 말웨어 사례를 발견했다고 밝혔다.

라자루스는 오래 전부터 암호화폐 사용자들을 겨냥하여 해킹 공격을 감행해왔다. 2018년 10월 코인텔레그래프는 이 그룹이 2017년 초부터 5억7100만 달러에 달하는 암호화폐 자산을 탈취했다고 보도했었다.

2019년 3월 카스퍼스키가 내놓은 보고서에는 암호화폐 사용자들을 겨냥하는 이 그룹의 활동이 아직도 계속되고 있으며 그 전략이 갈수록 진화되고 있다고 적혀 있다. 이에 더해서 동 그룹의 맥OS 바이러스는 작년 10월에 크게 변경된 바 있다.