2018.06.01

"북한의 RAT와 웜 악성코드를 경계하라"…미 FBI와 DHS

Ms. Smith | CSO
미 연방수사국(FBI)과 미 국토안보부(DHS)는 북한 정부와 연계된 해커들이 시스템에 원격으로 침투해 비밀번호와 기타 민감한 데이터를 훔치는 데 사용하는 두 가지 종류의 악성코드에 대한 기술적인 경고를 세부적으로 발표했다.



이 두 가지 악성코드는 원격 접속 도구(RAT)인 조냅(Joanap)과 서버 메시지 블록(SMB) 웜인 브램블(Brambul)이다. 이들 악성코드는 북한 정부의 악의적인 사이버 작전에 대해 미국 정부가 이름붙인 히든 코브라(Hidden Cobra)의 도구로 사용됐던 것으로 알려졌다. 미국 정부는 히든 코브라의 공격자들이 지난 2009년부터 악성코드를 사용해 왔다고 주장해왔다.

이번 경고는 지난 2014년 소니 픽처스 엔터테인먼트의 사이버 공격과 관련 히든 코브라 범죄자들을 비난하는 내용을 담았던 보고서 내용도 인용했다. 또한 1년 전, 전 세계에 확산됐던 파괴적인 특징의 워너크라이(WannaCry) 악성코드 공격에도 이 조직이 가담했다는 비난이 있었다.

미국 침해사고 대응팀(US-CERT)의 기술 자문 다음과 같다.
신뢰할 수 있는 제 3자의 보고에 따르면, 히든 코브라에 가담한 사람들은 적어도 2009년부터 언론, 항공 우주, 금융 및 핵심 인프라 부문을 포함해 미국을 비롯 전 세계의 다양한 피해자들을 겨냥해 조냅과 브램블 악성코드를 사용해 왔다.

조냅 RAT
2단계 악성코드인 조냅은 히든 코브라 해커가 "데이터 추출, 2차 페이로드 삭제 및 실행, 손상된 윈도우 장치에서의 프록시 통신 초기화" 명령 등을 원격으로 실행할 수 있는 완전한 기능의 RAT다. 이번 경고에 언급된 다른 조냅 기능에는 "파일 관리, 프로세스 관리, 디렉토리 생성 및 삭제, 노드 관리" 등이 포함돼 있다.

조냅은 피해자가 손상된 사이트에서 무의식적으로 파일을 다운로드하거나 악의적으로 심어 놓은 이메일 첨부 파일을 열어 볼 경우, 다른 악성 프로그램을 통해 삭제한 파일 형태로도 시스템을 감염시킬 수 있다. 미국 정부는 87개의 손상된 네트워크 노드를 확인했다. 감염된 IP 주소에는 아르헨티나, 벨기에, 브라질, 캄보디아, 중국, 콜롬비아, 이집트, 인도, 이란, 요르단, 파키스탄, 사우디아라비아, 스페인, 스리랑카, 스웨덴, 대만, 튀니지 등이 포함돼 있다.

브램블 SMB 웜
무차별적인 공격 인증 웜인 브램블은 SMB 공유를 통해 확산된다. 북한 정부가 지원하는 해커들이 시스템 정보를 수집하고 명령행 인수를 수락하며 자살 스크립트를 생성, 실행한다. 이후 SMB를 사용해 네트워크로 전파하고 SMB 로그인 자격 인증을 무력화하며 대상 호스트의 정보가 담긴 단순 메일 전송 프로토콜(SMTP) 이메일 메시지를 생성한다.

브램블 악성코드는 "동적 링크 라이브러리 파일이나 휴대용 실행 파일이 종종 악성코드를 통해 피해자 네트워크에 설치"되고 일반적으로는 "피해자의 네트워크에 액세스하기 위한 SMB 프로토콜에 맞서 무차별적인 암호 공격을 설치하는 하드 코딩 로그인 인증 목록을 사용함으로써" 확산된다. 이번 경고에 따르면, 브램블 악성코드는 "안전하지 못하거나 보안이 좋지 않은 사용자 계정을 대상으로 하며 보안이 취약한 네트워크 공유를 통해 확산"된다.

위협 탐지와 완화 방안
FBI는 히든 코브라가 경고 속 침해지표(IOC) 파일 표시에 포함된 IP 주소 목록을 사용하고 있다고 확신했다. FBI는 "DHS와 FBI는 네트워크를 방어할 수 있게 하고 북한 정부의 악성 사이버 활동에 대한 노출을 줄이기 위해 이런 IP 주소와 다른 IOC를 배포하고 있다"고 설명했다. 조직의 관리자와 사용자는 미국 정부에서 발표한 조냅과 브램블 정보를 검토해 감염 여부를 확인하고 권고 내용 속 완화 전략을 검토하는 것이 좋다.

북미 정상회담 관련해서도 북한을 비난하는 미국
이번 경고는 미국 정부가 히든 코브라에 대해 발표한 첫 번째 경고와는 거리가 멀지만, 트럼프 미국 대통령과 김정은 북한 국무위원장 간의 정상회담 가능성에 대한 논의가 늘어난 데 이어 나온 것이어서 눈길을 끈다.

ABC 뉴스는 다음과 같이 보도했다.
이번 정상회담 준비를 위해 김영철 북한 통일전선부장과 마이크 폼페이오 미국 국무장관이 뉴욕에서 만났다. 고위급 북한 관리의 미국 방문은 드문 일이다. 김영철 부장은 지난 2014년 당시 북한 지도자를 암살하려는 작전에 대한 풍자를 담은 영화 "인터뷰(The Interview)"로 해킹 공격을 받았던 소니 픽처스 엔터테인먼트 해킹 사건의 배후자라는 의혹을 받아 왔다.

북한은 미국 정부가 발표한 최신 경고에 대해 언급하지 않았지만, 일반적으로 사이버 공격과의 연루설을 부정해 왔다. DHS 관계자는 로이터통신과의 인터뷰에서 북한이 또 한번 부인하더라도 "미국은 연루 가능성을 심각하게 여기고 있으며 쉽게 결론을 내리지 않는다"고 말했다.

지난주 FBI, DHS, 미 법무부(DoJ) 등 3대 기관은 러시아 연계 악성코드인 VPN필터(VPNFilter)의 고급 단계에 대응하기 위해 공유기를 재부팅하라는 메시지를 발표한 바 있다. editor@itworld.co.kr  


2018.06.01

"북한의 RAT와 웜 악성코드를 경계하라"…미 FBI와 DHS

Ms. Smith | CSO
미 연방수사국(FBI)과 미 국토안보부(DHS)는 북한 정부와 연계된 해커들이 시스템에 원격으로 침투해 비밀번호와 기타 민감한 데이터를 훔치는 데 사용하는 두 가지 종류의 악성코드에 대한 기술적인 경고를 세부적으로 발표했다.



이 두 가지 악성코드는 원격 접속 도구(RAT)인 조냅(Joanap)과 서버 메시지 블록(SMB) 웜인 브램블(Brambul)이다. 이들 악성코드는 북한 정부의 악의적인 사이버 작전에 대해 미국 정부가 이름붙인 히든 코브라(Hidden Cobra)의 도구로 사용됐던 것으로 알려졌다. 미국 정부는 히든 코브라의 공격자들이 지난 2009년부터 악성코드를 사용해 왔다고 주장해왔다.

이번 경고는 지난 2014년 소니 픽처스 엔터테인먼트의 사이버 공격과 관련 히든 코브라 범죄자들을 비난하는 내용을 담았던 보고서 내용도 인용했다. 또한 1년 전, 전 세계에 확산됐던 파괴적인 특징의 워너크라이(WannaCry) 악성코드 공격에도 이 조직이 가담했다는 비난이 있었다.

미국 침해사고 대응팀(US-CERT)의 기술 자문 다음과 같다.
신뢰할 수 있는 제 3자의 보고에 따르면, 히든 코브라에 가담한 사람들은 적어도 2009년부터 언론, 항공 우주, 금융 및 핵심 인프라 부문을 포함해 미국을 비롯 전 세계의 다양한 피해자들을 겨냥해 조냅과 브램블 악성코드를 사용해 왔다.

조냅 RAT
2단계 악성코드인 조냅은 히든 코브라 해커가 "데이터 추출, 2차 페이로드 삭제 및 실행, 손상된 윈도우 장치에서의 프록시 통신 초기화" 명령 등을 원격으로 실행할 수 있는 완전한 기능의 RAT다. 이번 경고에 언급된 다른 조냅 기능에는 "파일 관리, 프로세스 관리, 디렉토리 생성 및 삭제, 노드 관리" 등이 포함돼 있다.

조냅은 피해자가 손상된 사이트에서 무의식적으로 파일을 다운로드하거나 악의적으로 심어 놓은 이메일 첨부 파일을 열어 볼 경우, 다른 악성 프로그램을 통해 삭제한 파일 형태로도 시스템을 감염시킬 수 있다. 미국 정부는 87개의 손상된 네트워크 노드를 확인했다. 감염된 IP 주소에는 아르헨티나, 벨기에, 브라질, 캄보디아, 중국, 콜롬비아, 이집트, 인도, 이란, 요르단, 파키스탄, 사우디아라비아, 스페인, 스리랑카, 스웨덴, 대만, 튀니지 등이 포함돼 있다.

브램블 SMB 웜
무차별적인 공격 인증 웜인 브램블은 SMB 공유를 통해 확산된다. 북한 정부가 지원하는 해커들이 시스템 정보를 수집하고 명령행 인수를 수락하며 자살 스크립트를 생성, 실행한다. 이후 SMB를 사용해 네트워크로 전파하고 SMB 로그인 자격 인증을 무력화하며 대상 호스트의 정보가 담긴 단순 메일 전송 프로토콜(SMTP) 이메일 메시지를 생성한다.

브램블 악성코드는 "동적 링크 라이브러리 파일이나 휴대용 실행 파일이 종종 악성코드를 통해 피해자 네트워크에 설치"되고 일반적으로는 "피해자의 네트워크에 액세스하기 위한 SMB 프로토콜에 맞서 무차별적인 암호 공격을 설치하는 하드 코딩 로그인 인증 목록을 사용함으로써" 확산된다. 이번 경고에 따르면, 브램블 악성코드는 "안전하지 못하거나 보안이 좋지 않은 사용자 계정을 대상으로 하며 보안이 취약한 네트워크 공유를 통해 확산"된다.

위협 탐지와 완화 방안
FBI는 히든 코브라가 경고 속 침해지표(IOC) 파일 표시에 포함된 IP 주소 목록을 사용하고 있다고 확신했다. FBI는 "DHS와 FBI는 네트워크를 방어할 수 있게 하고 북한 정부의 악성 사이버 활동에 대한 노출을 줄이기 위해 이런 IP 주소와 다른 IOC를 배포하고 있다"고 설명했다. 조직의 관리자와 사용자는 미국 정부에서 발표한 조냅과 브램블 정보를 검토해 감염 여부를 확인하고 권고 내용 속 완화 전략을 검토하는 것이 좋다.

북미 정상회담 관련해서도 북한을 비난하는 미국
이번 경고는 미국 정부가 히든 코브라에 대해 발표한 첫 번째 경고와는 거리가 멀지만, 트럼프 미국 대통령과 김정은 북한 국무위원장 간의 정상회담 가능성에 대한 논의가 늘어난 데 이어 나온 것이어서 눈길을 끈다.

ABC 뉴스는 다음과 같이 보도했다.
이번 정상회담 준비를 위해 김영철 북한 통일전선부장과 마이크 폼페이오 미국 국무장관이 뉴욕에서 만났다. 고위급 북한 관리의 미국 방문은 드문 일이다. 김영철 부장은 지난 2014년 당시 북한 지도자를 암살하려는 작전에 대한 풍자를 담은 영화 "인터뷰(The Interview)"로 해킹 공격을 받았던 소니 픽처스 엔터테인먼트 해킹 사건의 배후자라는 의혹을 받아 왔다.

북한은 미국 정부가 발표한 최신 경고에 대해 언급하지 않았지만, 일반적으로 사이버 공격과의 연루설을 부정해 왔다. DHS 관계자는 로이터통신과의 인터뷰에서 북한이 또 한번 부인하더라도 "미국은 연루 가능성을 심각하게 여기고 있으며 쉽게 결론을 내리지 않는다"고 말했다.

지난주 FBI, DHS, 미 법무부(DoJ) 등 3대 기관은 러시아 연계 악성코드인 VPN필터(VPNFilter)의 고급 단계에 대응하기 위해 공유기를 재부팅하라는 메시지를 발표한 바 있다. editor@itworld.co.kr  


X