美 정부기관은 오늘 북한 해커가 정부 계약업체를 공격할 때 사용한 원격 액세스 트로이 목마 악성코드를 분석한 보고서를 발표했다. 이 악성코드는 美 CISA와 FBI에 의해 발견되었으며 BLINDINGCAN이라고 한다.

1597900415.png! 작은

CISA와 FBI는 해당 트로이 목마가 북한 정부가 지원하는 해킹 조직인 HIDDEN COBRA(히든 코브라, 라자루스 또는 APT38)에서 비롯된 것이라고 믿고 있다.

발표된 보고서에 따르면 RAT에는 “내장된 원격 작업 기능이 있어 공격자가 대상 시스템에서 더 많은 다른 작업을 수행할 수 있다”라고 되어있다.

보고서는 “CISA는 4개의 xml 문서(.docx), 2개의 동적 링크 라이브러리(dll) 및 .docx 파일을 다운로드 하기 위해 외부 도메인에 연결하려고 시도했다. 각각 ‘iconcache.db’라는 이름의 32비트 및 64 비트 dll을 설치했고 이 dll이 히든 코브라 RAT의 변형을 실행하게 된다.”라고 언급되어 있다.

1597896000.png! small

BLINDINGCAN 악성코드는 감염된 시스템에서 자체적으로 침입 흔적을 제거하여 아래와 같은 기능이 탐지되는 것을 방지할 수 있다.

  • 디스크 유형 및 디스크의 여유 공간 크기를 포함하여 설치된 모든 디스크에 대한 정보 검색
  • 새로운 프로세스와 주요 스레드를 생성, 시작 및 종료
  • 파일 검색, 읽기, 쓰기, 이동 및 실행
  • 프로세스 또는 파일의 현재 디렉토리를 변경
  • 감염된 시스템에서 멀웨어 및 멀웨어 관련 내용 제거

이 보고서는 리버스 엔지니어링을 통해 얻은 악성코드에 대한 자세한 정보를 공개한 것이며, 美 정부는 이러한 악성 활동이 북한 정부에 의해 시작되었으며 이들의 사이버 공격을 방어하기 위한 것이라고 분명히 밝혔다.

1597900304.png! small

올해 5월, 암호 화폐 거래서 공격에 사용된 COPPERHEDGE와 같은 원격 액세스 도구를 포함해 3개 이상의 북한 관련 악성코드 변종이 공개된 바 있다. 이 중 두 트로이 목마는 TAINTEDSCRIBE 및 PEBBLEDASH라고 불린다.

美 정부는 또한 2월 중순에 6건의 북한 악성코드 정보를 발표했는데 그 내용은 아래와 같다.

  • BISTROMATH (RAT)
  • SLICKSHOES (Themida의 멀웨어 제거 프로그램과 함께 설치)
  • CROWDEDFLOUNDER (원격 액세스 트로이목마 로더)
  • HOTCROISSANT (백도어 기능이 있는 프로그램)
  • ARTFULPIE (하드코딩된 URL에서 DLL을 로드하고 실행할 수 있는 멀웨어)
  • BUFFETLINE (백도어 기능이 있는 프로그램)

2017년과 2018년에 북한 해킹 조직이 야기한 암호화폐 탈취는 약 5억 7,100만 달러의 경제적 손실을 입혔다.

2019년 CISA와 FBI는 데이터를 훔친 ELECTRICFISH 악성코드에 대한 정보와 HOPLIGHT 트로이목마에 대한 자세한 정보를 공개한 바 있다. 같은 해 9월 美 재무부는 북한 해킹 단체 지원 조직에(라자루스, 블루노로프, 안다리엘) 대한 세 가지 제재 문서에 서명했다.

2020년 4월 美 정부는 과거 및 현재 활동을 포함한 북한 해커 조직의 활동 정보를 제보하는 사람에게 500만 달러의 보상을 제공한다는 내용의 발표를 한 바 있다. 이 보상은 북한의 해킹 활동을 방지하고 해커의 위치를 찾는 데 도움이 될 것이다. 히든 코브라에 대한 자세한 내용은 美 CISA에서 발행한 조기 경보 발표를 참고.

[원문 출처 : BUF / 2020.08.20.]