전 세계 금융기관, 암호화폐 플랫폼, 핀테크 기업들을 정조준한
북한 연계 해킹 그룹 WaterPlum(일명 Famous Chollima, PurpleBravo)이 또다시 새로운 악성코드를 무기로
사이버 전장에 등장했습니다.
특히, 2024년 9월부터 발견된 "OtterCookie" 악성코드는 고도화된 정보 탈취 기능과
지속적인 업데이트를 통해 국제 사이버 보안 전문가들 사이에서 큰 우려를 낳고 있습니다.
🕵️♀️ 누가 공격했나? WaterPlum이란?
WaterPlum은 북한 정권의 후원을 받는 사이버 공격 그룹으로 알려져 있으며,
2023년부터 본격적인 활동을 시작한 것으로 추정됩니다.
초기에는 ‘Contagious Interview’라는 피싱 캠페인을 통해 공격을 전개했고,
BeaverTail과 InvisibleFerret 등 맞춤형 악성코드를 배포하며 금융권 침투를 시도했습니다.
하지만 2024년 하반기, 훨씬 더 정교해진 무기인 OtterCookie를 들고 다시 나타났습니다.
이 악성코드는 단순한 정보 탈취를 넘어, 시스템 통제와 크립토 자산 탈취까지 겨냥하고 있습니다.
🔍 OtterCookie, 무엇이 다른가?
OtterCookie는 이미 4개의 버전(v1~v4)이 포착되었으며,
버전이 올라갈수록 탐지를 피하고 데이터를 더욱 효율적으로 탈취하는 기능이 추가되고 있습니다.
📁 v1: 파일 탈취 기능만 탑재된 초기형
- 주요 기능: 파일 수집 및 업로드
- 지원 OS: Linux 및 macOS
🛠 v3: 윈도우 환경까지 침투
- 주요 기능:
- C2 서버와의 업로드 통신 모듈 포함
- 암호화폐 관련 확장자 파일 집중 수집
- 윈도우 지원 기능 본격 탑재
🔐 v4: 브라우저 암호 탈취 + 클립보드 감시
- 주요 기능:
- Chrome, Brave, MetaMask 등 브라우저의 로그인 정보 및 지갑 주소 탈취
- macOS용 탈취 모듈도 포함
- 외부 라이브러리를 줄이고 OS 명령어 활용으로 탐지 회피
OtterCookie의 최신 버전은 다양한 운영체제를 동시에 지원하며,
특히 한국과 일본 등 아시아 지역을 중점적으로 겨냥하고 있다는 분석도 나왔습니다.
💥 기업에게 미치는 영향은?
OtterCookie의 위험성은 단순한 정보 탈취를 넘어 조직 내부에서 "지속적 침투 기반"을 구축한다는 점입니다.
- 암호화폐 지갑 접근 및 탈취
- 중요 문서 유출 및 재무 데이터 도난
- CI/CD 파이프라인 감염을 통한 조직 전체 확산
- 클립보드 감시를 통한 지갑 주소 바꾸기 (예: 송금 대상 변경)
특히, 탈취된 로그인 정보는 추후 재침입에 사용되거나, 암시장에 판매될 가능성도 매우 높습니다.
📍 침해 지표(IoC) 확인하기
OtterCookie와 관련된 도메인 및 IP 목록은 다음과 같습니다:
악성 도메인
- alchemy-api-v3[.]cloud
- chainlink-api-v3[.]cloud
- moralis-api-v3[.]cloud
- modilus[.]io
C2 서버 IP
- 116.202.208.125
- 65.108.122.31
- 194.164.234.151
- 135.181.123.177
- 188.116.26.84
- 65.21.23.63
- 95.216.227.188
이 중 일부는 암호화폐 API를 모방한 피싱 도메인으로 활용되고 있습니다.
조직 보안팀은 즉시 방화벽 차단 목록에 해당 IP와 도메인을 등록하는 것이 권장됩니다.
🛡 대응 방안은?
✅ 개발 및 보안팀 대상 조치
- OtterCookie에 대한 YARA 룰 기반 정밀 탐지
- C2 통신 로그 확인 및 관련 프로세스 수동 검토
- 클립보드 접근 내역 감사 및 시스템 명령어 사용 로그 추적
✅ 조직 차원의 조치
- EDR 솔루션 및 보안 관제 강화
- 보안 취약점이 있는 개발 환경 점검
- 주요 자산 접속 계정의 2FA 및 자격 증명 회전
- macOS, Linux 포함 다중 플랫폼에 대한 전방위 보안 대응 필요
📢 마무리
OtterCookie는 단순한 악성코드를 넘어서, 북한 연계 공격 그룹이 자금을 확보하고
사이버 전장에서 영향력을 확대하려는 전략의 일환입니다.
멀티 플랫폼 지원, 정보 탈취 기능 강화, 탐지 회피 기술 도입 등은 이들이 기술적 진화를 거듭하고 있음을 보여줍니다.
앞으로도 이 같은 국가 지원형 공격에 맞서기 위해서는 조직 전체의 사이버 보안 대응 체계를 점검하고,
빠르게 IoC를 반영하는 실시간 보안 체계가 필수적입니다. 🎯
'CyberSecurity > Security🔐' 카테고리의 다른 글
| 🛡️ .NET 악성코드 추적하기! GetObject와 Assembly::Load 후킹으로 알아보는 숨겨진 실행 감시법 (1) | 2025.05.12 |
|---|---|
| 🎨 그림 속에 숨어든 악성코드?! .NET 앱을 위장한 스테가노그래피 공격 주의보 (2) | 2025.05.10 |
| 🐍 악성 NPM 패키지, 개발 환경까지 노린다! – rand-user-agent 감염 사건 분석 (0) | 2025.05.10 |
| 🧨 macOS 개발자 노린다! Cursor AI IDE로 위장한 악성 NPM 패키지 주의보 (1) | 2025.05.10 |
| ⚠️ Cisco 스위치에 심각한 DoS 취약점! DHCPv6 패킷으로 네트워크 먹통 위험 😨 (0) | 2025.05.09 |