북한 인권 내용 담은 HWP 문서 열어보면 낭패.. 록랫악성코드 주의

시스코 탈로스, 록랫(ROKRAT) 재출현 발견

시스코의 인텔리전스 그룹 탈로스에서 지난 한글 HWP 문서 사용과 RORAT 악성코드에 이어 새로운 록랫(ROKRAT) 버전을 발견했다고 발표했다.

이번에는 북한 인권 및 한반도 통일을 위한 시민 연대를 대상으로한 문서로 보이는 HWP 파일을 통해 유포된 것으로 확인된다.

탈로스가 지난번 발견한 첫 번째 악성코드는 악성 HWP 문서에 대한 것으로, 악성 HWP는 ‘손상된 웹사이트의 악성 페이로드를 받는데 사용되는 다운로더’를 드롭한다. 손상된 웹사이트 중에는 정부 웹사이트도 있었다. 탈로스는 이 사건에 ”사악한 새해(Evil New Years)”라는 이름을 붙인바 있다. 두 번째 내용은 록랫(ROKRAT)악성코드의 분석과 발견에 대한 것이었다.

이어서 최근 11월에는 록랫(ROKRAT)의 새로운 버전을 발견했다고 밝히고 주의를 당부했다. ”이 버전에는 이전의 두 개의 사건과 연관되는 기술적 요소가 포함”되어 있다고 탈로스측은 전했다.

연관되는 기술적요소로는 1)동일한 정찰 코드를 포함하고 있다. 2)”사악한 새해(Evil New Years)” 샘플이 사용한 것과 유사한 PDB 패턴이 발견된다. 3)ROKRAT이 사용한 방법과 동일한 클라우드 기능 및 유사한 복사-붙여넣기를 포함한다. 4)클라우드 플랫폼을 C&C로 사용하지만 완전히 동일하지는 않다. 이 버전은 pcloud, box, dropbox, yandex를 이용한다는 것이다.

또한, ROKRAT의 새로운 버전이 FreeMilk 캠페인에서 사용되는 다운로더인 Freenki와 코드를 공유한다는 사실도 밝혀졌다.

해당 캠페인은 예상대로 악성 HWP 문서를 유포하면서 시작됐다. 이 문서는 북한 인권 및 한반도 통일을 위한 시민 연대에서 발신한 문서로 유포된 것으로 보이며, 이 악성 문서는 ROKRAT 버전을 드롭하고 실행한다.

보안 전문가들은 ”이메일 확인과정에서 악성코드 감염과 확산이 빠르게 이뤄진다. 발신자를 항상 의심하고, 첨부파일 열어보기에 항상 주의를 기울여야 한다.”고 당부했다.

오승모 기자 oseam@icnweb.co.kr