사이버 보안 기업 Volexity 연구팀이 북한 해커 집단 라자루스가 가짜 가상자산 애플리케이션 BloxHolder를 유포하고 있다고 경고했다.
Volexity 연구팀에 따르면, 라자루스는 가짜 앱을 통해 네트워크에 대한 접근 권한을 얻기 위한 AppleJeus 멀웨어를 배포한다.
라자루스는 2018년부터 AppleJeus 악성코드를 사용해 가상자산을 해킹했다. 이번 BloxHolder를 통한 공격은 2022년 6월부터 시작됐으며 10월까지 계속됐다.
라자루스는 도메인 이름으로 bloxholder[.]com을 등록한 후 자동화된 가상자산 거래와 관련된 웹사이트를 설정했다. 이 웹사이트는 합법 웹사이트인 HaasOnline(haasonline[.]com.)와 유사하다.
이 웹사이트를 이용해 라자루스는 BloxHolder 앱으로 위장한 Windows MSI 설치 프로그램을 배포했다. 이 프로그램은 QTBitcoinTrader 앱과 함께 AppleJeus 악성코드를 배포하는데 사용된다.
Volexity 연구팀은 “BloxHolder 앱은 실제로 깃허브(GitHub)에서 사용할 수 있는 오픈소스 가상자산 앱 QTBitcoinTrader와 함께 AppleJeus가 설치된 또 다른 사례다. 이 앱은 CISA의 보고서에 나온 것과 같이 이전에 라자루스가 사용했던 것과 같다”라고 설명했다.
연구팀은 2022년 10월 라자루스가 MSI 설치 프로그램 대신 'OKX Binance&Huobi VIP fee comparision.xls'라는 무기화된 마이크로소프트 문서를 사용해 AppleJeus를 설치하는 것을 발견했다.
문서에는 두 부분으로 분할된 매크로가 포함돼 있다. 첫 번째 부분은 두 번째 매크로를 포함하는 두 번째 OLE(객체 연결 삽입) 개체가 포함된 base64 blob을 디코딩하는데 사용된다. 문서는 감염된 시스템에서 멀웨어를 배포할 위치를 정하는데 필요한 base64를 사용해 인코딩된 여러 변수를 저장한다. 그 다음에는 파일 공유 서비스인 OpenDrive를 통해 다운로드된다.
연구팀은 “라자루스는 계속해서 가상자산 사용자를 노리고 있다. 가상자산 해킹은 당분간 북한이 재정을 확보하는 수단으로 계속 이용될 것으로 보인다”고 말했다.
*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
