"MS 보안팀입니다"…첨부파일 열었더니 PC 통째로 털렸다
북한 연계 해킹조직 소행 의심…한국인 겨냥 표적 공격
네이버 웨일 위장해 탐지 회피…키로깅·화면 캡처까지
어두운 방 컴퓨터 이용 모습
[연합뉴스 자료사진]
마이크로소프트(MS) 보안팀을 사칭한 이메일로 한국 사용자 PC에 침투하는 신종 악성코드가 발견됐다.
북한 연계 해킹조직의 소행으로 의심되는 이 악성코드는 키보드 입력 기록부터 마이크 녹음까지 30종 이상의 기능으로 피해자 시스템을 장악할 수 있어 각별한 주의가 요구된다.
◇ OTP 경고로 위장한 스피어피싱…클릭 순간 감염 시작
15일 국내 보안 기업 지니언스[263860]에 따르면 최근 북한 연계 해킹조직 APT37의 소행으로 의심되는 악성코드 '나왈랫'(NarwhalRAT)이 한국 사용자를 겨냥해 유포되고 있는 것으로 파악됐다.
공격은 "MS 계정에서 일회용 인증코드(OTP)가 반복 생성되는 이상 징후가 감지됐다"는 내용의 스피어피싱 이메일로 시작된다. 발신자명은 'Microsoft 계정 팀'으로 표시되지만 실제 발신 도메인은 MS 공식 도메인이 아닌 것으로 확인됐다.
메일은 계정 탈취 가능성을 언급하며 첨부된 보안 안내문 확인을 유도한다. 압축 파일을 풀면 한글 문서처럼 보이는 악성 바로가기(.lnk) 파일이 나타난다. 이를 실행하면 겉으로는 정상적인 보안 안내 문서가 열리지만, 그 이면에서는 악성코드 설치가 진행되는 구조다.
해킹 (PG)
[백수진 제작] 사진합성·일러스트
◇ 네이버 웨일 흉내…"한국 사용자 맞춤형 설계"
지니언스는 해당 악성코드가 설치 후 컴퓨터 내부에 'naverwhale'(네이버웨일)이라는 이름의 폴더를 작업 디렉터리로 생성한다는 점에 착안해 'Narwhal(일각고래)'을 결합한 문자 재배열로 'NarwhalRAT'이라 명명했다.
'naverwhale' 폴더는 국내에서 널리 쓰이는 네이버 웨일 브라우저로 위장하려는 의도로 해석되며, 한국 사용자를 주요 표적으로 삼고 있음을 시사한다.
내부 코드에는 카카오톡 관련 창을 정보 수집 대상에서 별도로 처리하는 로직도 포함돼 있다. 보조 창을 걸러내 수집 데이터의 정확도를 높이는 방식으로, 이 역시 한국 사용자 환경을 고려해 개발된 정황으로 분석된다.
지니언스 분석 공격 흐름도
[지니언스 제공. 재판매 및 DB 금지]
◇ 키로깅·화면 캡처·마이크 녹음…30종 이상 원격 제어
나왈랫은 공격자의 원격 명령에 따라 키보드 입력 기록, 화면 캡처, 마이크 녹음, USB 저장장치 파일 수집, 원격 명령 실행 등 30종 이상의 기능을 선택적으로 가동할 수 있다.
피해자 PC에서 어떤 프로그램을 사용하고 어떤 서비스에 접속하는지를 화면과 키 입력을 통해 실시간으로 파악할 수 있는 구조다.
수집된 데이터는 즉시 외부로 전송되지 않고 작업 디렉터리에 임시 저장된 뒤 일괄 전송된다. 실시간 네트워크 탐지를 피하기 위한 것으로 풀이된다.
지니언스는 이번 공격이 지난해 5월 공개된 북한 연계 해킹조직 APT37의 파이썬 기반 백도어 공격 사례와 구조·수법 면에서 높은 유사성을 보인다고 분석했다.
스피어피싱에 쓰인 미끼 문서의 최종 저장자명이 'Lailey'로 동일하고, 악성 바로가기 파일 구조와 배치파일 난독화 방식, 작업 스케줄러 기반 지속성 확보 등 상당 부분이 일치했다는 설명이다.
지니언스는 "향후 유사한 변종 형태로 지속 활용될 가능성이 있는 만큼 파일 기반 탐지와 함께 행위 기반 탐지 체계를 강화해야 한다"고 권고했다.
연합뉴스제공 (케이시애틀 제휴사)
