[3줄 요약]
1. 국가정보연구회 소식지 사칭한 악성 LNK 파일로 RokRAT 백도어 유포
2. 김여정 성명서까지 미끼로 활용한 다층 공격체계 구축
3. 진화하는 RokRAT, 스테가노그래피·다단계 암호화로 탐지 회피 고도화

[보안뉴스 여이레 기자] 북한 정부의 지원을 받는 것으로 추정되는 해킹 그룹 ‘APT37’이 최근 한국 정부 및 정보기관 종사자를 표적으로 스피어 피싱 공격을 두 차례 전개한 것으로 밝혀졌다.

이 공격을 포착한 사이버보안 기업 시크라이트는 이 공격에 ‘한국 팬텀’(HanKook Phantom)이라는 이름을 붙였다.


2012년부터 활동해온 APT37 (다른 이름 InkySquid, ScarCruft, Reaper, Group123, RedEyes, Ricochet Chollima 등)은 북한 정부 연계 사이버스파이 조직이다. 주요 공격 대상은 한국의 공공·민간 부문이다.

시크라이트 최근 보고서에 따르면, 이들은 한국 정부 및 정보기관 관계자들이 주고받는 문서를 악용했다. 한국 국가정보연구회에서 정기적으로 발행하는 내부 뉴스레터를 사칭했다. ‘국가정보연구회 소식지(52호)’라는 PDF 문서로 위장된 LNK(윈도우 바로가기) 파일을 배포했다. 사용자가 LNK 파일을 실행하면 공격자는 악성 페이로드를 다운로드하거나 명령을 실행할 수 있게 된다.

이 공격 체인은 메모리 내 악성코드 실행, 위장된 문서, 은밀한 데이터 유출 기능 등 다양한 탐지 회피 기능을 포함한다. 분석 결과, 이 페이로드는 ‘RokRAT’ 백도어를 설치한다. ‘RokRAT’은 이전에도 APT37이 사용한 바 있는 악성코드다.

피싱 공격의 주요 표적인 소식지 수신자에는 국가정보연구회, 광운대학교, 고려대학교, 국가안보전략연구원, 중앙노동경제연구원, 에너지안보환경협회 등 주요 기관이 포함됐다.


이들은 또 김여정 북한 노동장 부부장의 공식 성명서를 미끼로 악용했다. 주요 공격 대상은 대한민국 정부, 통일부, 한미동맹, 아시아-태평양 경제협력체(APEC)였다.

이번 공격 역시 악성 LNK 파일이 미끼 역할을 하며 감춰진 악성코드(tony33.bat, tony32.dat, tony31.dat)를 임시 폴더(%TEMP%)에 배포하는 방식으로 이뤄졌다. LNK 파일은 스스로 삭제되며 배치 스크립트가 파일리스(fileless) 공격을 개시한다. tony32.dat는 메모리 상에서 tony31.dat를 XOR(키 0x37)로 복호화해 API(VirtualAlloc, CreateThread)를 통해 주입한다.

이후 드로퍼가 원격 명령·제어(C2) 서버에서 2차 페이로드(abs.tmp)를 불러와 파워쉘(-EncodedCommand)로 실행 후 흔적을 삭제한다. 동시에 disguised POST 요청(마치 PDF를 업로드하는 것처럼 조작)을 통해 임시 파일 데이터를 외부로 유출, 흔적을 지운다. 이 과정 전체에서 LOLBin, 메모리 내 실행, 트래픽 위장 등 고도화된 탐지 회피 기법이 동원됐다.

한편 APT37의 RokRAT은 계속해서 진화하고 있다. 안랩 시큐리티 인텔리전스 센터(ASEC)는 최근 RoKRAT의 한글(HWP) 문서를 이용해 백도어 악성코드를 유포하는 방식을 찾아내기도 했다. 지니언스 시큐리티 센터(GSC)는 지난달 악성코드 RokRAT이 다단계 암호화된 셸코드 삽입과 함께 사진 파일 내에 악성코드를 은닉하는 스테가노그래피를 결합해 탐지를 회피하는 방식으로 진화했음을 밝혀낸 바 있다.

[여이레 기자(gore@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>