18 October 2024
북한 해커 조직이 '돈 버는 게임'을 통해 악성 코드를 배포하고 있다고 MS가 경고했습니다.
Microsoft는 Moonstone Sleet(문스톤 슬릿, 舊 Storm-1789)로 추적되는 해커집단의 공격을 경고했는데요. 이 그룹은 다른 북한 해커 집단인 Lazarus가 개발한 랜섬웨어와 악성코드를 활용해 다양한 분야에서 응용, 공격을 한 것으로 추정됩니다.
특히 문스톤 슬릿은 C.C. Waterfall이나 StarGlow Ventures라는 가짜 회사를 만들어 정상적인 블록체인 회사로 위장하여 투자사 혹은 개발자를 찾는 것처럼 이메일을 보내 피해자들에게 접근했습니다.
게임을 실행했을 뿐인데 악성코드가 작동
특히 이번에 발견된 공격 패턴은 DeTankWar라는 게임입니다. 문스톤 슬릿은 디탱크워 게임을 소개한다는 취지로 이메일을 보냈는데, 게임 다운로드 링크를 함께 첨부해 보내기도 했습니다. 정상 게임처럼 위장했지만 악성 요인을 숨겨두는 전형적인 트로이목마 공격 방식으로, 사용자가 이 링크를 실행하면 악성코드가 작동됩니다. 물론 게임을 활용한 악성코드 배포가 드문 일은 아니죠.
당장 다양한 불법 파일공유 사이트에는 게임으로 위장한 악성코드가 상당히 많이 유포되고 있는 상황입니다. 문스톤 슬릿도 유사한 방법을 택한 셈인데요. 마이크로소프트 측은 "다른 북한 위협 행위자가 사용하는 기술과 공격 방법론을 모두 조합한 조직"이라고 설명했습니다.
블록체인을 활용해서 돈을 버는 Defi(디파이, Decentralized Finance) 프로젝트에 관심을 갖는 사람이나 자사의 블록체인을 실용화하려는 회사들은 이런 서드파티 프로그램에 호의적인 경향을 가질 수밖에 없는데요. 이 지점을 노린 것으로 보입니다. 사용자가 게임을 실행하면 악성 DLL이 구동, 악성 코드를 메모리에 불러와서 해당 PC에 연결된 네트워크와 사용자 정보 검색, 브라우저 데이터 수집과 같은 기능을 수행하는 악성 서비스를 생성합니다. 또한 자격 증명 도용과 키보드 입력값을 조작하는 등의 공격도 수행합니다.
악성코드 배포 방법의 진화, 개발자 플랫폼과 SNS
게임 뿐만이 아닙니다. 이들은 악성코드를 포함시킨 변종 PuTTY를 개발, 개발자 플랫폼과 LinkedIn, Telegram과 같은 SNS를 통해 배포했는데요. PuTTY는 흔히 SSH 등 서버 콘솔에 접근하기 위해 사용하는 오픈 소스 터미널 에뮬레이터입니다. 이 변종 PuTTY를 사용해 서버 콘솔에 접근하면 서버의 IP주소와 입력한 비밀번호 값이 고스란히 아카이빙되어 문스톤 슬릿에게 전송되는 것을 확인할 수 있었는데요. 마이크로소프트는 과거 Diamond Sleet이라고 명명된 해커 그룹의 수법과 유사하다는것 역시 공표했습니다.
개발자들을 대상으로 한 공격은 이것 뿐만이 아니었습니다. 개발자들이 사용하는 GitHub라는 플랫폼에 악성 npm(node package manager)을 배포했습니다. npm이란 Node.Js에서 사용할 수 있는 모듈을 패키지 형태로 저장해 둔 패키지 생태계이자 현존하는 가장 큰 오픈소스 라이브러리인데요. 개인이든 기업이든 많은 개발자들은 이런 오픈소스 프로젝트에 대한 신뢰를 가지고 활동한다는 점에서 이런 공격의 위험성은 더욱 커집니다.
또한 문스톤 슬릿은 악성 npm 로더를 통해 LSASS(로컬 보안 인증 하위 시스템 서비스)를 우회, 자격 증명을 도용하는 것 역시 확인하였습니다. 현재 MS는 GitHub과 협력하여 관련 리포지토리를 제거하였습니다. 그렇다 하더라도 오픈소스 라이브러리를 사용할 때 조금 더 보안 의식을 가지고 주의 깊게 사용하는 것이 중요한 상황임에는 분명합니다.
변종 랜섬웨어 등 고도화되는 해킹 조직
해당 해킹 조직은 랜섬웨어 변종을 사용한 해킹도 시도하였습니다. 특히 사용자에 맞춰 변종을 활용, 일종의 맞춤형 랜섬웨어를 사용하고 있다는 것이 발견되었습니다. 예를 들어 페이크페니(FakePenny)라는 변종 랜섬웨어에는 전용 로더와 암호화 로직이 포함되어 있었습니다.
북한 해커 그룹이 과거에도 맞춤형 랜섬웨어를 만든적은 있지만, 문스톤 슬릿이 맞춤형 랜섬웨어를 배포하는 것이 확인된 것은 이번이 처음입니다.
문스톤 슬릿의 이런 다양한 공격 방식 채택은 공격의 효율성이란 부분뿐만 아니라 북한이 사이버 공격의 목표를 달성하기 위해 수년간 활동하면서 어떻게 수렴진화해 왔는지를 알 수 있다는 점에서 특히 주목해야 한다고 볼 수 있습니다.
북한은 정상적으로 경상 수익을 창출할 수 없기 때문에 여러 해 동안 이런 해킹 전문 인력을 유지해 왔는데요. 문스톤 슬릿의 이런 다변화된 공격은 단순히 랜섬웨어를 사용한 금전 탈취 등 재정적 이익을 넘어서 정보 유출, 원격 작업 시행 등 실제로 공격의 범위가 확장되고 있음을 보여줍니다.
또한 문스톤 슬릿이 또 다른 북한 해킹 그룹인 오닉스 슬릿처럼 랜섬웨어를 공격 패턴에 추가한 것은 이 조직이 파괴적인 작전을 수행할 수 있도록 역량을 확충하고 있다는 것을 추측할 수 있도록 해줍니다. 실제 2022년 오닉스 슬릿과 스톰-0530은 'h0lyGhost' 랜섬웨어를 배포했다는 점에서, 이를 발달시켜 본격적인 공격을 수행하고 있다고 봐도 되겠죠.
점차 진화하는 북한 해킹 공격의 위협
다양한 방식으로 동시에 공격을 실행하는 문스톤 슬릿의 능력과 Defy 게임에 포함된 생각보다 높은 수준의 악성코드, 새로운 맞춤형 랜섬웨어 변종의 사용 등은 북한이 상당한 해킹 역량을 가졌다는 것을 강력하게 시사하고 있습니다.
또한 문스톤 슬릿의 공격 방식이 다이아몬드 슬릿의 방법론, 그리고 다이아몬드 슬릿이 사용했던 코드 패턴을 많이 재사용했다는 점을 고려할 때 사실상 다른 북한 해커 그룹들이 상호간에 사이버 공격 역량을 공유하고 있다고 볼 수 있습니다.
특히 악성 npm 패키지 등이 강력한 증거인데요. 여러 개의 서로 다른 북한 그룹이 상대적으로 흔하지 않은 전술을 공유한다는 것은 북한의 위협 행위자 간에 전문 지식과 TTP(Trusted Third Party)를 공유한다는 의미일 수 있습니다.
북한 해커 그룹이 소프트웨어 공급망을 통해 가하는 이런 악성 작업은 북한이 그동안 대외관계와 안보기구에 일련의 변화를 겪었다는 점을 고려했을 때 더욱 많은 것을 시사한다고 볼 수 있습니다. 실제 2023년 11월 북한은 여러 나라의 대사관을 폐쇄했고, 2024년 3월 통일전선부(UFD)를 해산했을 가능성도 있는 것으로 보이기 때문입니다.
문스톤 슬릿은 지속적으로 성숙하고 발전하며 진화한 현 북한 정권의 칼날로 보이며, 정권을 대신하여 정교한 공격을 수행하는 해킹 조직이 되었습니다.