30일 시스코 탈로스는 HWP 악성문서를 통해 유포되고 있는 ‘록랫’ 익스플로잇의 새로운 버전을 발견했다며 이같이 밝혔다. ‘록랫’은 지난 6월 시스코 탈로스가 북한발 사이버 공격 수사 도중 발견한 HWP 기반 공격코드다.

올해 탈로스는 한국 내 위협과 관련해 2개의 자료를 발표한 바 있다. 첫 번째 자료는 손상된 웹사이의 악성 페이로드를 받는 데 사용되는 다운로더를 드롭하는 악성 HWP 문서에 관한 내용으로, 탈로스는 이를 ‘사악한 새해(Evil New Years)’라고 명명했다. 두 번째 자료는 ‘록랫’ 악성코드의 발견과 분석 내용이었다.

이번에 발견된 ‘록랫’의 새로운 버전은 앞의 두 자료와 연관된 기술적 요소가 발견됐다. 사용된 정찰코드가 동일했으며, ‘사악한 새해’ 샘플과 유사한 PDB패턴도 발견됐다. 더불어 이전에 발견된 ‘록랫’이 사용한 클라우드 기능과 유사한 방법을 보였으며, 클라우드 플랫폼을 C&C 서버로 사용했다는 점도 동일하다는 게 탈로스 측 설명이다.

또한, 탈로스는 ‘록랫’의 새로운 버전이 ‘프리밀크(Freemilk)’ 캠페인에서 사용되는 다운로더인 ‘프리키(Freenki)’와 코드를 공유한다고 설명했다.