메신저 서비스를 C&C 서버로 활용...탈북자와 관련 인권 단체 노려

요약 : 보안 외신 해커뉴스에 의하면 북한의 APT 단체 스카크러프트(ScarCruft)가 정보 탈취 멀웨어를 사용해 공격을 실시해 왔다고 한다. 이 멀웨어는 이전까지 한 번도 공개된 적이 없는 것으로, 고(Go) 언어를 통해 개발됐고, 실시간 메시징 서비스인 에이블리(Ably)를 익스플로잇 하여 C&C 서버로서 활용하는 것으로 분석됐다. 피해자들은 주로 한국에 거주하는 탈북자들과 인권 운동가, 북한 전문가들인 것으로 보인다. 최초 침투는 CHM 및 LNK 파일이 첨부된 스피어피싱 메일을 통해 이뤄진다고 한다.


배경 : 스카크러프트는 APT37나 리퍼(Reaper)로도 불리는 북한의 해킹 단체로, 북한 정권과 관련이 깊은 것으로 알려져 있다. 에이블리는 데이터와 메시지를 실시간으로 전송해 주는 서비스다. 사이버 공격자들은 텔레그램과 같은 메신저 앱에 채널을 하나 마련한 뒤 이를 C&C의 대체제로 이용하곤 한다.

말말말 : “출처가 불분명한 메일이나 첨부파일은 절대로 열어보지 않는 것이 안전합니다. 특히 CHM이나 LNK 파일은 현재 북한 공격자들이 즐겨 사용하고 있으니 더욱 주의하시기 바랍니다.” -ASEC-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>