만능 스파이 활동 기능 백도어 ‘Dolphin’ 심고 C&C 통신 위해 구글 드라이브 악용

[보안뉴스 김경애 기자] 북한 추정 해커조직 APT37가 만능 스파이 활동 기능을 갖춘 백도어 ‘돌핀(Dolphin)’를 심어 남한을 정찰하고 명령제어(C&C) 서버와의 통신을 위해 구글 드라이브를 악용한 정황이 포착됐다.


‘Dolphin’ 백도어는 드라이브 및 이동식 장치의 모니터링, 주요 파일 반출, 키로깅, 스크린샷 촬영, 브라우저에서의 자격 증명 탈취 등 다양한 스파이 기능을 갖췄다. 이 백도어는 공격자가 선택한 대상에 대해서만 실행되며, 비교적 단순한 형태의 악성코드를 사용해 초기 공격을 수행한 후 해당 백도어가 구축된다. ‘Dolphin’은 C&C 통신을 위해 클라우드 스토리지 서비스를 악용했는데, 특히 구글 드라이브(Google Drive)를 악용했다.

글로벌 보안기업 이셋(ESET) 연구진은 “Dolphin 백도어는 해커가 선택한 대상에 구축된 후, 감염된 시스템의 드라이브에서 관심 대상 파일을 검색하고 구글 드라이브를 통해 파일을 반출한다”며 “백도어 이전 버전에서 발견된 다른 기능으로는 공격 대상의 구글(Google)과 지메일(Gmail) 계정의 설정을 수정해 보안 수준을 낮추는 능력이 있는데, 이를 통해 공격 조직의 지메일 계정 액세스를 유지하는 것으로 보인다”고 분석했다.

‘Dolphin’ 백도어를 심은 해커조직은 스카크러프트(ScarCruft) 조직으로 지목되고 있다. 스카크러프트는 최소 2012년부터 활동해온 스파이 조직으로, APT37 또는 Reaper로 알려져 있다. 이들의 활동은 주로 한국에 중점을 두고 있으며, 다른 아시아 국가들도 공격 대상이 되고 있다. 주로 북한의 이해관계와 관련된 정부 및 군사 조직, 다양한 산업 분야의 기업에 관심을 기울인다.

스카크러프트는 2021년 북한 보도를 주로 하는 한국의 인터넷 신문사를 대상으로 워터링 홀 공격을 수행한 바 있다. 이 공격은 Internet Explorer 익스플로잇, BLUELIGHT라는 이름의 백도어로 이어진 셸코드 등 다양한 구성요소로 이루어졌다.

그런데 ‘BLUELIGHT’ 백도어보다 정교한 백도어 ‘Dolphin’이 등장했다. 2021년 4월, Dolphin을 처음 발견한 이셋 연구진은 이후 ‘Dolphin’ 백도어의 다양한 버전을 관찰해 공격 조직이 이 백도어의 기능을 강화하고 탐지를 피하기 위한 시도를 한 것을 파악했다.

이셋 연구진은 “‘BLUELIGHT’ 백도어가 기본적인 정찰과 평가를 수행했다면, ‘Dolphin’은 더욱 정교하다. 선택한 공격 대상에 대해서만 수동으로 구축되는 게 특징”이라며 “두 백도어 모두 명령에서 지정된 경로로부터 파일을 반출할 수 있지만, 돌핀은 드라이브를 적극적으로 검색하고 관심 대상 확장명에 해당하는 파일을 자동 반출한다”고 분석했다.

특히, 운영체제 버전, 악성코드 버전, 설치된 보안제품 목록, 사용자 이름, 컴퓨터 이름 등 공격대상 기기에 대한 기본 정보를 수집한다. 즉, 모든 고정 드라이브(HDD) 및 비고정 드라이브(USB)를 검색해 디렉토리 목록을 생성하고 확장명을 기준으로 파일을 반출한다는 얘기다.

이 뿐만 아니다. ‘Dolphin’은 Windows Portable Device API를 통해 스마트폰과 같은 휴대용 장치도 검색할 수 있다. 또한, 브라우저에서 자격 증명을 탈취하고 키로깅 및 스크린샷 촬영도 가능하다. 결국 데이터는 암호화된 ZIP 아카이브 형태로 구글 드라이브에 업로드된다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>