2019-09-18 00:55 (수)
라자루스 해킹그룹, 한국 POS시스템 타깃 공격으로 활동 재기
상태바
라자루스 해킹그룹, 한국 POS시스템 타깃 공격으로 활동 재기
  • hsk 기자
  • 승인 2017.12.25 20:04
이 기사를 공유합니다

“국가 후원 받는 해커 그룹이 POS기기 대상으로 공격한 첫번째 사례”

aa-2.jpg
최근 보안회사 프루프포인트(Proofpoint) 연구원이 암호화된 화폐에서 Lazarus(라자루스) APT 그룹 활동의 중요한 증거를 발견했다.

북한과 관련된 것으로 알려진 이 해킹그룹은 암호화폐와 관련된 유인물을 통해 사용자를 악성코드에 감염시키는 여러 단계의 공격을 수행했다. 악성코드는 암호화폐 지갑과 환전에 대한 기밀 문서를 훔치는 것을 목표로 했지만 그 이상의 것을 얻을 수도 있다.

프루프포인트 연구원들은 라자루스 그룹이 암호 화폐와 관련된 유인물을 사용해 정교한 백도어나 정찰 목적의 악성코드로 수많은 사용자를 감염시켜왔다는 사실을 발견했다. 그 후 일부 사용자들은 또 암호화폐 지갑 및 환전에 사용되는 기밀 문서 탈취를 목적으로 하는 Gh0st RAT를 포함한 추가적인 멀웨어에 감염됐다. 주로 비트코인 등 수익성이 있는 화폐를 타깃으로 한다.

라자루스 APT 그룹은 암호화폐의 급상승하는 가격에 흥미를 가지고 더 많은 공격을 수행했다. 2014년과 2015년 이 그룹의 멤버들은 맞춤형 악성코드, DDoS 봇넷, 와이퍼 악성코드 등을 공격에 사용했고, 분석가들에게 매우 정교하다는 평가를 받았다.

해당 그룹은 어쩌면 2007년, 최소 2009년부터 활동해왔고 사이버 첩보 캠페인과 파괴 캠페인을 수행했다. 보안 연구원들은 북한 라자루스 APT 그룹이 방글라데시 은행에 대한 사이버 범죄를 포함해 은행을 타깃으로 하는 공격 배후에 있음을 발견했다. 또한 Troy, 다크서울(DarkSeoul), 소니 픽쳐스 등 전세계를 타깃으로 하는 더 큰 사이버 첩보 캠페인을 수행하는 그룹에 속해있다.

이들은 또한 최근 한국의 POS기를 타깃으로 한 공격의 배후로 여겨지고도 있다. 해당 보고서는 국가 후원을 받는 해커 그룹이 POS를 대상으로 공격한 첫번째 사례라고 언급했다. 해커들은 공격을 통해 사용자의 카드 결제시 사용하는 POC 데이터를 도용해 필요한 금융 정보를 얻을 수 있다. 또한 해커들은 크리스마스 쇼핑 시즌에 맞추어 공격을 강화하고 있다.

전문가들이 발표한 연구 보고서는 오리지널 Ratankba 악성코드와 매우 유사한PowerRatankba라고 명명된 파워셀 기반 멀웨어에 대해 상세히 설명하고 있으며 한국 POS 시스템을 타깃으로 한 RatankbaPOS에 대해서도 설명하고 있다.

프루프포인트 위협 정보 책임자인 Patrick Wheeler는 “라자루스 그룹은 매우 정교하고, 정부가 후원하는 APT 그룹이다. 전세계를 타깃으로 하고 파괴적인 공격의 오랜 역사를 가지고 있다. 정부의 후원을 받는 그룹들은 보통 간첩과 분열을 목적으로 한다. 그러나 이 그룹의 최근 활동들을 보면 이들이 경제적 동기를 가지고 있음을 알 수 있고 이는 북한 그룹의 특성과 비슷하다”고 언급했다.

★정보보안 대표 미디어 데일리시큐!★