APT37이 얼마 전부터 LNK 파일을 공격에 활용하기 시작했다. 매크로를 교묘히 사용하던 자들이었지만 MS가 매크록 관련 정책을 바꾼 후 전략을 바꾼 것으로 보인다.

[보안뉴스 문가용 기자] 북한의 해킹 단체 APT37이 새로운 전략을 사용해 멀웨어를 유포하기 시작했다. 이들이 새롭게 활용을 시도하고 있는 건 LNK 파일이다. MS가 오피스 문건들의 매크로 기능을 차단하기 시작하니 새로운 방법을 찾아나선 것으로 보인다. APT37은 악성 매크로로 멀웨어 퍼트리기를 즐겨 하던 단체다.


보안 업체 체크포인트(Check Point)에 의하면 APT37은 최근부터 LNK 파일을 통해 원격 접근 도구인 록랫(RokRAT)을 유포하기 시작했다고 한다. 주요 공격 대상은 한국의 내무부와 외무부 혹은 관련 단체들이라고 한다.

정상 문서로 위장되어 있어
LNK 파일은 ‘바로 가기’ 파일로, 정상적인 문서의 모양을 한 채로 공격 대상의 시스템에 안착한다. 체크포인트가 발견한 APT37의 공격에서 공격자들은 LNK 파일을 PDF 파일로 변경시켰다. 그리고 이 파일을 두 개의 정상 파일과 함께 ZIP 아카이브에 포함시켜서 피해자에게 전송했다. 두 개의 정상 파일은 리비아의 에너지 산업부에서 나온 공식 문서 하나와 한국의 외교 관련 조직에서 나온 문서였다. 어디선가 훔친 것이었다.

체크포인트에 의하면 피해자가 집 아카이브를 풀고 LNK 파일을 클릭할 경우 파워셸 스크립트가 실행되었다고 한다. LNK 파일에서 하나의 문서를 추출해 피해자의 디스크에 저장하고 여는 기능을 가진 스크립트였다. 이 문서는 일종의 미끼로, 피해자의 눈에는 PDF나 HWP 파일이 열리는 것처럼 보인다. 하지만 배경에서는 BAT 파일이 실행된다. 이 BAT 파일 역시 LNK 파일 안에 숨겨져 있었다. 이 BAT 파일은 또 다른 파워셸 스크립트를 실행시켜 원드라이브에서부터 악성 페이로드를 하나 다운로드 한다. 이 페이로드는 록랫을 피해자의 시스템에 설치한다.

체크포인트의 위협 첩보 분석가인 세르게이 샤이케비치(Sergey Shykevich)는 “이렇게 여러 단계를 거쳐 공격이 실시될 때 방어자가 분석하고 방어하기가 까다로워진다”고 설명한다. “PDF처럼 보이는 LNK 파일이 뒷단에서 파워셸을 실행하고, 그 파워셸은 두 가지 파일을 로딩하니 여간 헷갈리는 게 아닙니다. 게다가 원드라이브라는 유명 클라우드 서비스에서 뭔가가 다운로드 되니 악성으로 분류되지도 않고요.”

최초 침투 전략이 바뀌다
APT37은 스카크러프트(ScarCruft)나 리퍼(Reaper)로도 불리는 해킹 단체로 최소 2012년부터 활동해 왔다. 한국의 외교 단체들을 주로 공략해 왔다. 제로데이 취약점을 익스플로잇 하기도 하고, 골드백도어(GoldBackdoor)라는 백도어를 한국 기자들의 장비에 심기도 했다. 여태까지는 악성 오피스 문서에 악성 매크로를 발동시킴으로써 자신들이 원하는 바를 달성해 왔다. LNK 파일로 공격을 시작하는 것이 발견된 건 이번이 처음이다.

LNK 파일을 통해 멀웨어를 유포하려는 전략을 새롭게 선보이고 있는 건 APT37만이 아니다. 2022년 2월 MS가 인터넷에서 다운로드 된 오피스 문서 파일의 경우 매크로가 디폴트로서 발동되지 않도록 하겠다고 발표한 이후(그리고 이를 시행한 이후) 여러 해킹 팀들이 새로운 전략들을 실험하기 시작했다. MS가 매크로에 대해 그렇게 결정한 건, 당시 모든 사이버 공격의 31%가 매크로와 관련이 있는 것으로 조사됐기 때문이다.

“LNK 파일이 공격자들에게 매력적인 것은 LNK 파일들에 있는 각종 기능 때문입니다. LNK 파일은 모든 유형의 파일처럼 보이도록 만드는 것이 용이합니다. 이번 공격에서 LNK 파일이 PDF나 HWP 파일처럼 위장된 것도 이러한 LNK의 특성 덕분입니다. 게다가 각종 유형의 스크립트를 실행시키는 것 역시 매우 용이합니다. 스카크러프트가 이번에 LNK를 통해 BAT 파일을 실행시킨 것처럼 말이죠.” 샤이케비치의 설명이다.

지난 한 해 동안 여러 사이버 공격자들이 LNK 파일을 활용해 이모텟(Emotet), 아이스드아이디(IcedID), 칵봇(QakBot) 등의 멀웨어를 유포했다. 스팸 캠페인, 피싱 이메일, 악성 URL 등 LNK 파일을 활용하는 방법 역시 다양하게 발전해 왔다.

다크웹에는 악성 LNK 파일을 퍼트리기 위한 상업 링크를 생성해 주는 도구들이 거래되고 있다. 대표적인 건 퀀텀링크빌더(Quantum Link Builder)로, 한 달 200달러의 구독료를 내거나 일시불로 1600달러를 결제하면 누구나 사용이 가능하다. MLNK빌더(MLNK Builder)라는 도구도 널리 사용된다. 빌드 당 125달러를 내도록 되어 있다.

3줄 요약
1. 북한의 유명 APT 단체인 스카크러프트, LNK 파일을 활용해 최초 침투.
2. 원래는 매크로를 주로 이용하던 단체였지만 MS가 오피스 정책을 바꾼 후 전략 수정.
3. 최근의 피해자는 한국의 정부 기관 및 관련 조직들인 것을 보임.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>