라자루스 해커단, Mac OS용 악성코드도 만들었다

유령회사 설립해 유사 공급망 공격

북한의 해커단 Lazarus가 처음으로 맥용 악성코드를 만들어, 아시아에 있는 가상화폐 거래소를 해킹하는 데 사용했다. 이 작전은 카스퍼스키가 발견했으며, 애플제우스 작전(operation AppleJeus)이라고 불렀다. 금전적 피해가 발생했는 지는 확실치 않으며, 우리 나라 거래소는 아니다.

해킹은 피싱(phishing)에서 시작됐다. 거래소 직원이 개발사의 사이트로 위장한 가짜 사이트에서 가상화폐 거래용 프로그램을 다운로드했는데, 업데이트 모듈에 악성코드를 다운로드하는 기능을 넣었다. 이 프로그램은 유효한 디지털 인증서(코드 서명 인증서)로 서명되어 있어서 보안 프로그램을 우회할 수 있다.

가짜 가상화폐 거래 프로그램은 윈도우용과 맥용이 있으며, 추후 업데이트 시 RAT(원격제어) 악성코드를 다운로드한다.

애플제우스 작전에서 특이한 점은 유령회사를 이용한 점이다. 보통 피싱에서는 유명한 회사의 사이트를 모방한 가짜 사이트를 이용하는데, 여기서는 실존하지 않는 소프트웨어 개발사를 만들어 홈페이지를 구축하고 코드 서명 인증서까지 발급받은 것이다. 공급망 공격(supply-chain attack)의 변형이라고 할 수 있겠다.


참고 자료

댓글

이 블로그의 인기 게시물

엑셀 필터 상태에서 복사와 잘라내기

가정에서도 망 분리를 해보자

잉크젯 프린터 전원은 항상 켜 놓아야 좋다