글로벌 차세대 보안 선도 기업인 팔로알토 네트웍스(Palo Alto Networks, 지사장 최원식)는 30일 자사의 위협 인텔리전스 연구소 유닛42(Unit42) 발표를 인용해 북한의 해킹 그룹으로 알려진 ‘리퍼(Reaper)’가 러시아와 캄보디아 정치인들을 타깃으로 시도한 공격에 멀웨어 ‘노키(NOKKI)’를 사용했다고 밝혔다.

리퍼 그룹은 군사 방위 산업 등의 조직을 주요 타깃으로 하는 해킹 그룹으로 국내 기업들은 물론 중동 지역들과도 연관이 되어 있는 것으로 알려져 있으며, 이 그룹은 주로 커스텀 멀웨어 도그콜(DOGCALL)을 사용하는데 원격 접속 트로이목마(RAT)인 도그콜은 데이터를 업로드하고 명령을 수신하기 위해 써드파티 호스팅 서비스를 이용한다. 현재까지 알려진 바에 따르면 이 멀웨어 제품군을 사용하는 공격 그룹은 리퍼가 유일하다.

유닛42은 이에 ‘노키’와 ‘도그콜’ 멀웨어의 상관관계를 밝혀내고, 이전에 보고된 적 없는 멀웨어 제품군이 도그콜을 배포하는데 사용된 정황에 대해서 분석했다.

이번 분석 조사에 따르면 2018년 7월부터 시작된 가장 최근의 공격 집단이 마이크로소프트 워드 문서 내의 악성 매크로를 이용한 것으로 나타났다. 본질적으로 크게 복잡하지 않은 이 특정 매크로들은 실행가능한 멀웨어를 다운로드 받아 실행하고, 마이크로소프트 암호 해독 문서를 다운로드 받아 열기를 시도한다.

이 매크로는 탐지를 피하기 위해 특정 문자열의 간단한 난독화를 사용하고, 최종적으로는 base64 인코딩만 사용했다. 그러나 이 과정에서 사용된 독특한 방법은 base64 인코딩 텍스트를 hex로 1차 변환 후 hex를 text로 다시 변환했다.

노키에 대한 모든 샘플에 대해 이러한 고유의 난독 기술을 검색한 결과 또 하나의 특이점이 발견됐다. 원래의 파일 이름을 바탕으로, 2018년 러시아에서 개최된 월드컵에 관심이 있는 사람들을 대상으로 하는 이 악성 프로그램 샘플을 추측할 수 있었으며, 고유의 난독 기술이 제작자 코멘트를 포함한 샘플에 사용된 루틴과 일치했으며, 코드 중복 및 북한 관련 멀웨어 코니(KONNI)와의 연관성을 지닌 신종 멀웨어 제품군 ‘노키’에 대한 조사에서 시작된 이번 연구를 통해 팔로알토 네트웍스는 노키 제품군이 리퍼 공격 그룹과 연관되어 있음을 확인했다. 매크로 관계는 미약한 수준이나 북한 관련 유인물 정보 및 도그콜 멀웨어 페이로드(payload) 등의 특이점이 발견되었으며, 이전에 공개되지 않은 추가 멀웨어 제품군(Final1stspy)이 밝혀졌다.

유닛42는 이번 위협에 대해 지속적인 모니터링 및 리포트를 제공할 예정이며, 팔로알토 네트웍스의 고객들은 다음과 같은 보안 체계를 통해 위협으로부터 안전하게 보호되고 있다고 밝혔다.

-위협 분석 서비스 와일드파이어(WildFire)를 통한 모든 멀웨어의 적정 분류
-지능형 엔드포인트 보호 솔루션 트랩스(Traps)를 통한 위협 차단
-위협 인텔리전스 서비스 오토포커스(AutoFocus)를 통해 코니(KONNI), 노키(NOKKI), Final1stspy, 도그콜(DOGCALL), 리퍼(Reaper) 태그를 통한 지속적인 추적

[서울=팔로알토 네트웍스 코리아]