라자루스를 가장 심각한 위협 중 하나로 만드는 건 암호화폐에 대한 그들의 집요함이 아니다. 속도전에 능하다는 것이다. 보안 업계가 이들의 속도를 쫓지 못하고 있어 라자루스는 자신들이 원하는 바를 척척 이뤄내고 있다.
[보안뉴스 문가용 기자] 북한의 유명 해킹 단체 라자루스(Lazarus)가 의료 분야와 인터넷 통신 분야의 조직들을 겨냥해 새로운 공격 캠페인을 진행하는 중이다. 그런데 이 캠페인에서 여태까지 한 번도 발견된 적 없는 새로운 멀웨어가 사용되고 있다고 한다. 일종의 원격 접근 도구(RAT)인데, 이름은 콰이트랫(QuiteRAT)이다.
[이미지 = gettyimagesbank]
콰이트랫은 2022년 라자루스가 사용했던 멀웨어인 매직랫(MagicRAT)의 후신인 것으로 분석됐다. 한 마디로 업그레이드된 매직랫이라는 것이다. 사실 매직랫도 2021년에 등장한 타이거랫(TigerRAT)이 개량된 버전이었다. 이 세 멀웨어 모두 피해자 장비와 피해자 본인에 대한 여러 가지 정보를 수집해 공격자들에게 보내는 역할을 수행하며, 여러 명령어를 실행할 수도 있다. 다만 콰이트랫의 경우 용량이 4~5MB에 불과하기 때문에 잘 눈에 띄지 않는다.
또 하나 재미있는 건 콰이트랫이 큐티(Qt)라는 프레임워크를 기반으로 개발됐다는 것이다. 큐티는 그래픽 사용자 인터페이스(GUI)를 설계할 때 사용하는 프레임워크다. 일반적인 프레임워크를 활용함으로써 보안 탐지 기능을 우회하겠다는 게 라자루스의 의도인 것으로 분석된다.
이번에 발견된 캠페인은 지난 2월부터 시작된 것으로 보인다. CVE-2022-47966이라는 초고위험도(9.8점) 취약점의 개념 증명용 익스플로잇 코드가 등장하고서 불과 5일 만에 라자루스는 해당 취약점을 익스플로잇 하기 시작한 것으로 조사된 것이다. 이 취약점은 조호 매니지엔진(Zoho ManageEngine)에서 발견된 것이었다. 공격 표적은 미국과 영국의 의료 시설 및 통신 관련 조직들이었다. 이 캠페인을 추적한 시스코 탈로스(Cisco Talos) 팀은 피해자를 구체적으로 밝히지 않았다.
GUI 기반의 RAT 사용한 라자루스
2022년 4월 라자루스는 매직랫 최신 버전을 컴파일링했다. 매직랫도 콰이트랫처럼 큐티를 기반으로 하고 있었다. 탈로스 팀은 “매직랫은 큐티 클래스들을 사용해 전체 코드를 작성했다”며 “공격에 필요한 설정들은 큐세팅(QSettings)이라는 클래스에 동적으로 저장되어 있으며, 이는 나중에 디스크로 옮겨진다”고 설명한다. 하지만 멀웨어가 현란한 그래픽을 자랑하는 건 아니다. 아니, 그래픽적인 요소는 단 하나도 없다. 그렇다면 왜 굳이 큐티 프레임워크를 멀웨어 개발에 활용한 걸까?
“큐티 프레임워크는 활용도가 대단히 높다는 특성을 가지고 있습니다. 그 어떤 플랫폼에도 종속되어 있지 않으며, 사용자에게 무한한 자유도를 선사하지요.” 탈로스 팀의 위협 연구자 아쉬어 말호트라(Asheer Malhotra)의 설명이다. “또한 큐티 프레임워크는 일반적으로도 널리 사용되는 오픈소스입니다. 따라서 악성으로 탐지될 가능성이 희박합니다. 만약 피해자 시스템에 특정 시그니처를 기반으로 악성 요소를 탐지하는 솔루션만 설치되어 있다면 큐티를 통해 우회할 수 있게 됩니다.”
콰이트랫?
말호트라는 “라자루스라는 단체가 얼마나 빠르게 새 무기들을 세상에 내놓는지, 놀라울 정도”라고 운을 뗀다. “거의 매년 새로운 멀웨어들을 두세 개씩 선보입니다. 그리고 그것들에 대하여 보안 업계가 적응하는 모습을 보이면 곧바로 새로운 것을 다시 만들어 사용하죠. 속도로서 방어자들을 제압하는 거라고 할 수 있습니다. 후속적으로 대응하는 것이 보안의 주류라는 것을 간파한 모습이기도 합니다.”
그런 맥락 속에서 등장한 콰이트랫은 위에서 언급한 대로 매직랫의 후속 버전으로, 매직랫의 불필요한 부분들을 제거했다는 특성을 가지고 있다. 매직랫은 스케줄러를 활용해 공격 지속성을 확보했는데, 콰이트랫은 공격 지속성과 관련된 기능이 하나도 없다. 아마도 C&C 기능을 통해 이 부분을 충당하는 것으로 보인다. 이렇게 몇 가지 기능들을 희생했을 때 콰이트랫은 훨씬 작은 용량을 가질 수 있게 됐다. 매직랫은 18MB였고, 콰이트랫은 4~5MB에 불과하다.
말호트라는 “18MB라면 애플리케이션치고 꽤 덩치가 있는 편”이라고 설명한다. “특히 은밀하게 활동해야 하는 멀웨어가 이 정도 크기라면 사실 커다란 핸디캡이라고 봐야 합니다. 컴퓨터에 큰 발자국을 내고 돌아다닌다고 생각하면 됩니다. 그만큼 눈에 띄기 쉬운 것이죠. 용량이 작으면 작은 발자국이 남으니, 은밀하다는 의미에서 훨씬 유리합니다.”
용량을 줄였다는 것 외 나머지 부분에서 콰이트랫은 매직랫과 크게 다르지 않다. 둘 다 최초 침투 이후 시스템 정보부터 수집하고, 원격 셸을 심어 파일에 대한 편집, 이동, 삭제 권한을 가져간다. 임의의 명령을 실행할 수 있다는 것도 같다. 코드 난독화를 한다는 것과 슬립 모드를 잘 활용한다는 점에서도 비슷하다. “결국 같은 목적을 위해 멀웨어들을 만들고 활용하고 있다는 것이죠. 앞으로 더한 멀웨어들이 라자루스의 손에서 나올 거라고 봅니다. 그리고 이런 라자루스의 움직임이 다른 해커들에게 자극이 될 것도 같습니다.”
3줄 요약
1. 북한의 라자루스, 새로운 멀웨어 가지고 의료/통신 분야 노리는 캠페인 실시.
2. 새 멀웨어는 콰이트랙이라고 하며, 큐티라는 GUI 프레임워크를 기반으로 하고 있음.
3. 라자루스는 매년 새로운 멀웨어를 사용하기 때문에 멀웨어 기바능로 탐지가 어려움.
[국제부 문가용 기자(globoan@boannews.com)]
[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=121327&page=1&mkind=1&kind=1)]
