출처 :

https://www.boannews.com/media/view.asp?idx=109697&kind=0

워록이라는 새로운 해킹 단체가 나타났다. 이들은 아주 약간 중국 해킹 단체 하나와 비슷한 면모를 보이기는 하나, 그것 외에는 모든 면에서 독특하고 고유하다. 도구들마저 처음 보는 것들만 사용하니 말이다.

[보안뉴스 문가용 기자] 비교적 새롭게 출현한 사이버 정찰 그룹이 꽤나 흥미로운 도구들로 무장한 채 사이버 범죄 세계에 등장했다. 그리고 동남아시아, 중동, 남부 아프리카 지역의 정부 기관들을 공격하는 중에 있다고 보안 업체 이셋(ESET)이 경고했다. 현재 이 그룹에는 워록(Worok)이라는 이름이 붙었고, 스스로 개발한 것처럼 보이는 공격 도구를 즐겨 사용한다고 한다. 중국의 TA428과 유사한 점이 제법 발견되고 있다. 

워록은 2020년에도 잠시 나타나 통신사들과 정부 기관들, 그리고 해양 관련 기관들을 공략했었다. 그러다가 다시 2022년 초 활동을 시작한 것이라고 한다. 이셋의 멀웨어 연구원인 티바우트 파실리(Thibaut Passilly)는 “워록의 공격 도구가 다른 공격 단체의 손에 사용되는 걸 본 적이 없다”고 말한다. “전혀 새로운 도구들을 가지고 데이터를 훔쳐내는 중입니다. 세계 곳곳에 피해자들이 있는데 사기업이나 공공 기관이나 가리지 않는 것으로 보입니다. 스테가노그래피 등 각종 난독화 기술을 자유자재로 사용하기도 합니다.”

워록의 맞춤형 공격 도구
최근 사이버 범죄 시장에서 뚜렷하게 나타나는 트렌드는 다크웹에서 거래되는 각종 사이버 범죄 서비스와 도구들을 활용해 공격을 실시하는 것이다. 저렴하게 도구를 사들이거나, 파트너십을 통해 범죄 수익금을 나누는 등으로 이들은 기술과 도구를 교류하고, 그러면서 추격을 따돌리기도 한다. 또한 각자의 전문성을 더 집중해 갈고 닦을 수 있게 되므로 효과도 좋다.

그런데 워록은 이런 최신 트렌드를 완벽히 거스르고 있다. 자신들이 직접 만든 것으로 보이는 도구들을 고집스럽게 사용하는 것이다. 현재까지 발견된 워록만의 도구들은 다음과 같다.
1) C++ 기반 로더인 CLR로드(CLRLoad)
2) 파워셸 기반 백도어인 파우하트비트(PowHeartBeat) - ICMP 패킷을 활용해 명령을 전송
3) 2단계 C# 기반 로더인 PNG로드(PNGLoad) - 이미지 파일 내에 악성 코드를 숨김

“현재까지도 계속해서 이 멀웨어들을 분석하는 중인데, 아직 그 어떤 멀웨어와의 유사성이 발견되지 않고 있습니다. 워록이라는 이 해킹 단체가 자신들만의 고유한 무기를 개발해 사용하고 있을 가능성이 매우 높아 보입니다. 또 다른 가능성은 이들에게 독자적으로 무기를 공급하는 자들이 배후에 있다는 것입니다. 이는 이들이 필요에 따라 계속해서 기능을 추가할 수 있다는 뜻이 됩니다.” 파실리의 설명이다.

다른 조직들과의 연관성
그럼에도 워록에서 다른 그룹의 느낌이 살짝 풍기기도 한다. 특히 아태 지역 국가들을 집중적으로 공격해 왔던 중국 해킹 그룹인 TA428과 약간 비슷한 면모를 가지고 있다. 하지만 두 그룹의 직접적인 관련성을 지적하기에는 그 비슷함의 정도가 약하다고 한다. “셰도우패드(ShadowPad)라는 도구가 사용된다거나, 공격 표적이 비슷하다거나, 활동 시간이 겹치는 등 약간의 유사성이 존재하긴 합니다만 둘은 별개의 독립체들입니다.”

정체불명의 워록을 막으려면 어떻게 해야 할까? 파실리는 “워록이 계속해서 자신들의 무기를 보다 날카롭게 그리고 보다 다양하게 만들어가고 있다는 것을 기억해야 한다”고 설명한다. “따라서 기존의 시그니처 기반 탐지 도구들로는 이들을 막기가 힘듭니다. 행동 패턴을 분석하여 수상한 신호들을 잡아내는 방법이 더 효과적입니다.”

또한 파실리는 “사용하는 소프트웨어와 OS를 최신화 하는 게 가장 중요한 방어법 중 하나”임을 강조했다. “여러 단계의 방어 구도를 짜는 것도 중요한 일입니다. 그래야 한두 개를 공격자가 통과하더라도 다음 단계에서 막히고, 그럼으로써 공격이 점점 비싸지기 때문입니다. 사이버 공격자들은 공격에 비용 들어가는 걸 가장 무서워합니다.”