탈북자 및 북한 관련 뉴스를 취재하는 언론인 그리고 대한민국의 기업 등이 북한 정부가 후원하는 APT(Advanced Persistent Threat) 그룹의 새로운 고도로 표적화된 감시 공격을 받고 있다고 더해커뉴스가 보도했다. 

러시아 사이버 보안 회사 카스퍼스키는 APT37, Reaper Group, InkySquid, Ricochet Chollima, ScarCruft로 추적되는 북한 해커 그룹이 이 공격의 배후에 있는 것으로 보고 있다.

카스퍼스키의 글로벌 연구 및 분석 팀(GReAT)은 29일 발표한 보고서에서 "공격자는 유사한 기능을 가진 세 가지 유형의 악성코드를 사용했다. PowerShell, Windows 실행 파일 및 Android 애플리케이션으로 구현된 버전이다. 서로 다른 플랫폼을 대상으로 하지만 HTTP 통신을 기반으로 유사한 명령 및 제어 체계를 공유하고 있다. 따라서 악성 코드 운영자는 하나의 명령 및 제어 스크립트 세트를 통해 전체 악성 코드 제품군을 제어할 수 있다"라고 설명했다.

최소 2012년부터 활동한 것으로 보이는 APT37은 손상된 시스템에 저장된 민감한 정보를 탈취할 목적으로 한국에 위치한 공공 및 민간 부문을 표적으로 삼는 것으로 알려져 있으며, 이전에 RokRAT라는 Windows 기반 백도어를 사용하는 것으로 관찰되었다.

APT37이 사용하는 주요 초기 감염 벡터는 공격자가 악성 문서를 표적에게 이메일을 이용해 보내는 스피어 피싱이다. 2021년 8월, 이 그룹은 BLUELIGHT로 알려진 맞춤형 임플란트와 함께 인터넷 익스플로어 웹 브라우저의 두 가지 익스플로잇을 사용하여 한국 온라인 신문에 대한 워터링 홀 공격을 행하기도 했다.

더해커뉴스에 따르면, 카스퍼스키가 조사한 사례는 어떤 면에서는 비슷하면서도 다르다. 공격자는 훔친 페이스북 계정 자격 증명을 사용하여 피해자의 동료 및 지인에게 연락하여 초기 접촉을 실행했지만, 워드 문서가 포함된 암호로 보호된 RAR 아카이브를 포함하는 스피어 피싱 이메일로 후속 조치를 시행했다. 이 미끼 문서는 "북한의 최근 상황과 한국의 국가 안보"에 관련된 내용으로 위장되었다고 보도했다.

마이크로소프트 오피스 문서를 열면 매크로가 실행되고 문서에 포함된 다음 단계 페이로드가 복호화된다. VBA(Visual Basic Application)인 페이로드에는 원격 서버에서 백도어 기능이 있는 최종 단계 페이로드를 검색하는 셸 코드가 포함되어 있다.

GReAT가 감염된 피해자 중 한 명에서 밝혀낸 추가 기술에 따르면 위협행위자는 2021년 3월 22일에 침해가 발생한 후 8월에서 9월 사이 두 달 동안 스크린샷을 수집한 후 8월 말 장치를 제어하고 중요한 정보를 C2(명령 및 제어) 서버로 유출하는 Chinotto라는 멀웨어를 배포했다.

또한 Chinotto는 사용자를 감시하는 목표를 달성하기 위해 자체 Android 변형과 함께 제공된다. 스미싱 공격을 통해 수신자에게 전달된 악성 APK 파일은 사용자가 설치 단계에서 광범위한 권한을 부여하도록 요청하여, 앱이 연락처 목록, 메시지, 통화 기록, 장치 정보, 오디오 녹음 및 Huawei Drive, Tencent WeChat(Weixin이라고도 함) 및 KakaoTalk와 같은 앱에 저장된 데이터를 축적할 수 있도록 한다.

카스퍼스키는 한국의 비상 대응 팀과 협력해 APT37의 공격 인프라를 제거했으며 이전에 APT 그룹이 사용한 것으로 알려진 백도어인 PoorWeb에서 Chinotto의 뿌리를 추적했다고 덧붙였다.

카스퍼스키 연구원들은 "많은 언론인, 탈북자, 인권 운동가들이 정교한 사이버 공격의 표적이 되고 있다. 기업과 달리 이러한 표적들에게는 일반적으로 고도로 숙련된 감시 공격을 방어하고 대응할 수 있는 충분한 도구가 없다"라고 말했다.

★정보보안 대표 미디어 데일리시큐!★