지난 설날 연휴가 끝나가는 2024년 2월 12일부터 2월 말까지 수행된 다수의 북한 정부 후원 APT37 그룹 소행 사이버 위협 캠페인이 확인됐다.

이들은 △라자루스(Lazarus) △김수키(Kimsuky) △코니(Konni) 등과 함께 한국을 대상으로 한 주요 국가배후 위협 그룹 중 하나다. APT37은 주로 북 인권단체, 북한 취재 기자, 탈북민 등 주로 대북분야 종사자를 겨냥해 지속적으로 스피어 피싱을 수행 중이다.

지니언스 시큐리티 센터(이하 GSC)는 실제 사례별 심층 분석을 통해 LNK 파일에 내장된 파워쉘 명령이 초기 공격에 꾸준히 활용됨을 확인했다. 이는 위협 행위자 관점에서 안티바이러스 탐지 회피에 어느정도 효과가 입증됐을 것이다. 더불어 암호화된 RoKRAT 악성코드를 파일리스 기반으로 실행해 단말 정보를 수집 후 은밀히 해외 클라우드 서버로 유출한다.

지난 1~2월 기준 국내서 가장 많이 관찰된 초기 침투 유형은 스피어 피싱이다. 이메일을 통한 공격 수법은 여전히 효과가 좋고, 위협 행위자 입장에서 가성비 높은 전략이다. 분야별 공격 대상자 선별부터 맞춤형 시나리오 구성까지 쉽고 빠르게 접근할 수 있는 점을 무시할 수 없다.

이런 공격에 있어 악성 파일 실행 유도는 무척 중요한 절차다. 주요 단말에 특정 백신 제품이 설치돼 있다는 가정하에 초기 공격 시나리오가 설계된다. 따라서 위협 행위자는 이러한 일차 방어를 회피하기 위해 시그니처 기반 탐지 우회가 가능하도록 준비한다.

공격자는 마치 북한관련 연구 분야에 소속된 것처럼 신분을 위장했다. 그 다음 이메일에 '북한총람(2011-2023).zip' 압축 파일을 첨부해 다운로드를 유도한다.

첨부파일은 이메일 본문 상단에 대용량 링크 방식의 첨부파일 형태로 디자인 후 삽입했고, 드롭박스(DropBox) 클라우드 저장소를 활용했다. 위협 행위자가 직접 가입해 사용 중인 것으로 보인다. 화면에는 국내 이메일 서비스의 대용량 첨부파일 기능처럼 다운로드 기한과 횟수가 표시돼 있지만, 실제 서비스 내용처럼 위장한 수법이다.

이메일내 링크 방식으로 첨부된 '북한총람(2011-2023).zip' 압축 파일은 별도의 비밀번호가 설정돼 있지 않다. 위협 행위자들은 보안 탐지 회피나 분석 방해 목적으로 암호를 설정해 공격하는 전략도 사용한다.

압축 파일에는 '2023년 북한10대뉴스.pdf' 정상 문서와 'General view of North Korea 240226.lnk' 이름의 바로가기(LNK) 악성 파일이 존재한다. LNK는 이중 확장자를 사용하지 않았고, PDF 아이콘으로 위장했다.

이번 케이스의 경우 의심을 줄이기 위해 정상 PDF 문서을 함께 포함했다. 폴더옵션에 확장자 숨기기가 설정된 경우 보통 아이콘을 통해 파일 종류를 구별한다. 하지만 LNK 바로가기 파일은 확장자를 보기 어렵기에 아이콘 좌측 하단에 포함된 화살표를 유심히 살펴봐야 한다.

PDF 문서에 연결된 다른 리더가 설치된 경우 정상 PDF 문서는 별도 아이콘으로 보일 수 있다. 하지만 악성 LNK 파일의 경우 내부에 MS 엣지 웹 브라우저의 아이콘으로 설정돼 있어 바뀌지 않는다.

이처럼 아이콘이 서로 다르게 보이거나, 작은 화살표가 포함된 경우라면 LNK 유형의 악성 파일을 육안으로 구분해 낼 수도 있다.

만약 APT 공격 동향과 기술에 따른 고유 특성을 습득하고 있다면, 파일 내부에 은닉된 코드를 분석하기 전에 악성 가능 여부를 판단하는 기초 자료가 될 수 있다.

한편 APT37 그룹의 위협 활동 대부분이 파일리스 기반 공격으로 수행되고 있기 때문에 초기 유입당시 이상행위를 식별하는 것이 무엇보다 중요하다.

쉘코드 명령을 분석해 보면, 암호화된 데이터를 실행 파일로 변환하고 호출하게 된다.

복호화 로직 함수를 통해 LNK 하위 영역에 Shellcode 블록과 함께 은닉된 부분이 EXE 파일로 변환되고, 메모리 상에서 실행된다.

메모리 상에서만 실행되는 이 코드를 분석해 보면, APT37 그룹이 내부 침투 및 정찰에 활용하는 RoKRAT 악성코드 변종을 확인할 수 있다.

RoKRAT 도구는 악성코드 내부에 '--wwjaughalvncjwiajs--' 문자열이 발견되는 고유한 특징이 있는데, 이번 변종에도 동일하게 발견된다. 이 내용은 지난 2023년 5월 23일 '지니언스 위협 분석 보고서'에 언급된 바 있다. 더불어 미국 국토안보부 산하기관인 CISA의 2020년 5월 12일 'MAR-10160323-1.v2' 분석 보고서 등에 인용됐다.

이처럼 RoKRAT 도구는 오래전부터 계속 활용되는 위협 지표이고, 지속적으로 변종이 제작되고 있다.

◆RoKRAT 특성

APT37 그룹의 RoKRAT은 2017년 4월, 시스코 탈로스의 '폴 라스카네레스' 위협 분석가에 의해 소개됐다. 'RoK' 명명법에 대해 구체적으로 공개되지 않았지만, 한국대상 위협 보고서라는 점에서 'Republic of Korea' 약자일 것으로 보인다.

RoKRAT은 기본적으로 'System Management BIOS(SMBIOS)' 등을 이용해 이용자 단말 정보를 수집하고, 위협 행위자 의도와 명령에 따라 추가 악성코드 설치가 진행된다. 그리고 △피클라우드(pCloud) △얀덱스(Yandex) △원드라이브(OneDrive) △드롭박스(DropBox) △구글드라이브(GoogleDrive) 등 합법적인 클라우드 플랫폼을 활용하는 특징이 있다.

특히, 단말에 존재하는 [.XLS] [.DOC] [.PPT] [.TXT] [.M4A] [.AMR] [.PDF] [.HWP] 등의 확장자를 가진 문서와 휴대폰 녹음파일을 수집해 명령제어(C2) 서버로 유출을 시도한다. 본 사례의 RoKRAT 악성 코드는 스위스 소재의 회사로 알려진 '피클라우드 (pCloud)' 이름의 저장소를 C2 인프라로 사용 중이며, 꾸준히 악용되는 추세다.

피클라우드 플랫폼이 RoKRAT 활동 거점으로 지속 발견되고 있다. 기업이나 기관 내부에서 정식으로 사용하는 클라우드 서비스가 아니라면 사전에 접근을 제한하거나 모니터링 하는 것도 좋은 예방법 중에 하나가 될 수 있다.

웹에는 원격제어 기능의 오픈소스 기반 RAT(Remote Administration Tool) 종류가 다수 존재한다. 하지만, RoKRAT 시리즈처럼 정보탈취 목적으로 개발된 이후 이처럼 오랜기간 활동을 이어가는 종류는 소수다.

이번 위협 케이스는 피클라우드 API 토큰 방식을 통해 피해자 단말 정보를 탈취한다. 이때 사용되는 토큰 값의 유저인포 값에 특정 이메일 주소가 사용됐다.

'softpower21cs@gmail.com' 지메일 주소는 지난 2023년 중순 때부터 최근까지 APT37 캠페인에서 지속적으로 발견되었다.

2023년 6월 6일 보고된 APT37 캠페인의 경우 '북한이탈주민 초빙강의.zip' 파일이 원드라이브를 통해 배포된 이력이 있다. 당시 원드라이브에 파일을 추가한 이름은 'sandoz messi'이며, LNK 악성코드는 '스테가노그래피' 기법을 이용해 'myphoto2.jpg' 사진처럼 위장된 RoKRAT 파일을 원드라이브 통해 호출된다.

이때 발견된 RoKRAT 악성 파일은 피클라우드 서버로 통신하고, 사용된 이메일은 'softpower21cs@gmail.com' 주소가 발견됐다.

'softpower21cs@gmail.com' 이메일은 'sandozmessi@gmail.com' 주소의 복구 계정으로 연결되어 있다.

한편, 2024년 1월 26일에는 안드로이드용 모바일 스카이프(Skype) 메신저로 위장한 악성앱 유포가 식별된 바 있다.

그 당시 'skype.apk' 악성앱은 드롭박스 링크를 통해 전달됐고, 공격에 쓰인 표현 중에는 △판본 △되였습니다 △내리적재 등이 발견됐다. 그리고 APK 안드로이드 악성앱 내부에서 C2용 피클라우드 토큰키가 사용됐다. 해당 클라우드의 이용자 정보에서 'sandozmessi@gmail.com' 이메일 주소가 확인됐다.

APT37 그룹은 다양한 플랫폼 기반의 공격전략을 개발해 구사하고 있다. 따라서 오랜기간 지속적인 관찰과 위협 연구를 통해 연결고리를 식별해야 한다.

GSC에 따르면 “지난 해 하반기부터 현재까지 한국내에서 발생한 스피어 피싱에 사용된 악성코드 유형을 분석해 본 결과, 단연코 LNK Shortcut 기반의 공격이 가장 두드러진다”며 “위협의 지속성이 유지된다는 의미는 그만큼 공격 ROI(투자 대비 효과) 결과가 좋다는 것이다. 공격에 사용된 LNK 파일은 내부코드 및 명령 패턴이 꾸준히 바뀌고 있고, 파일리스 기술을 동원해 시그니처 탐지 회피를 적용 중이다. 이처럼 진화하는 APT 공격을 보다 효과적으로 대응하기 위해 알려진 IoC(침해지표) 식별은 물론, 단말 이상행위 탐지대응이 무엇보다 중요하다”고 강조했다.

이어 “국내에서 발생하는 APT 공격은 갈수록 국지적이며, 은밀화되는 추세다. 그리고 위험 수위도 갈수록 커지고 있다. 내부 시스템으로 유입된 악성파일 하나가 예기치 못한 침해사고로 이어진 사례도 많다. 이렇듯 작은 위협요소 하나 놓치지 않고 식별할 수 있는 대안 중에 하나가 바로 EDR 기능을 적극 활용하는 방법이다”라고 전했다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★