북한 해커 집단 라자루스가 새로운 백도어 디트랙(DTrack)으로 유럽과 라틴 아메리카를 공격하고 있다.
카스퍼스키 연구팀에 따르면, 디트랙은 2019년부터 라자루스가 사용하고 있는 모듈식 백도어로 금융에서 원자력 부분에 이르기까지 많은 분야에 영향을 미쳤다.
북한 해커는 시스템을 감염시켜 정보를 수집하고 파일을 업로드, 다운로드, 조작해 데이터를 유출하는 것으로 알려졌다.
연구팀은 최근 공격에 사용된 디트랙 버전이 과거 버전과 비슷하지만 점점 더 많은 대상을 찾고 있음을 확인했다.
백도어의 언패킹 과정은 여러 단계로 구성되며, 2단계 백도어는 백도어 PE 파일 내부에 저장된다. 디트랙은 파일 내의 오프셋에서 읽거나 PE 바이너리 내의 리소스에서 읽어서 페이로드를 검색한다.
두 번째 단계에서는 난독화된 쉘코드로 백도어의 샘플마다 다른 암호화 방법을 적용했다. 이전 버전과 달리 최근에 사용된 버전은 3단계 이상의 페이로드를 사용할 수 있다.
최종 페이로드(DLL)를 마치고 나면 백도어는 프로세스 비우기를 활용해 explorer.exe에 로드한다. 최근 캠페인의 또 다른 차이점은 백도어의 최근 변종이 6개가 아닌 3개의 C2 서버를 사용한다는 점이다.
연구팀은 교육, 화학 제조, 정부 연구 센터 및 정책 기관, IT 서비스 제공업체, 유틸리티 제공업체, 통신 등 다양한 분야의 기업을 공격했다.
최근에는 독일, 브라질, 인도, 이탈리아, 멕시코, 스위스, 사우디아라비아, 터키, 미국의 기업을 강타했다.
연구팀은 “디트랙은 라자루스가 계속해서 사용할 것으로 보이며, 멀웨어의 압축 방식은 라자루스가 여전히 디트랙을 중요한 공격 수단으로 보고 있음을 보여준다. 다만, 백도어가 처음 발견된 2019년 이후로 업데이트는 많이 이뤄지지 않았다는 점은 특이한 부분이다”라고 설명했다.
*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
