스피어 피싱 통해 구글 크롬용 악성 확장 프로그램 설치하도록 유도
하지만 자신들의 흔적 감추는 데 허술한 모습 보여…북한 가능성 높아

[보안뉴스 문가용 기자] 북한에서 활동하는 것으로 보이는 해킹 단체가 지난 5월부터 학술 단체를 노리고 공격한 것으로 나타났다. 이에 대해 보안 업체 넷스카웃(NetScout)이 보고서를 발표했다.


공격자들은 스피어 피싱 이메일을 사용해 피해자들을 한 웹사이트로 유혹했다. 이 웹사이트는 방문자들이 특정 구글 크롬 확장 프로그램을 설치하도록 유도하고 있는데, 당연히 악성 프로그램이다. 그 후 최초 침해가 이뤄지면 공격자들은 정상적인 툴을 이용해 공격을 지속시킴으로써 탐지를 피한다.

넷스카웃은 “악성 크롬 확장 프로그램을 설치하도록 설계된 도메인들은 학술 단체만을 겨냥하고 있었지만, 아직 다른 공격 표적이 다 발견되지 않은 것일 수도 있다”고 말한다. 넷스카웃이 현재까지 찾아낸 피해자들은 다량의 대학 기관들과 생물 의학 공학(biomedical engineering)과 관련된 전문 단체들이었다.

하지만 공격자들은 자신들의 공격 흔적을 감추는 데는 그리 뛰어난 모습을 보이지 않았다. 그래서 넷스카웃은 한국어로 열린 웹 브라우저, 영한 번역기, 한글로 변환된 키보드와 같은 흔적을 발견할 수 있었다.

공격자들이 공격을 지속시키기 위해 사용한 건 윈도우에 기본으로 탑재된 관리자 툴이나 정상적으로 판매되는 상업용 프로그램들인 것으로 나타났다. 또한 원격 데스크톱 프로토콜(Remote Desktop Protocol, RDP) 등도 사용해 계속 시스템에 접근했다. 그러나 아직 데이터가 직접적으로 탈취된 증거는 나타나지 않고 있어 공격의 동기는 명확하지 않다.

넷스카웃은 이 공격 캠페인에 ‘스톨른 펜슬(STOLEN PENCIL)’이라는 이름을 붙였다. 그리고 보고서를 통해 “기초적인 피싱 페이지들을 굉장히 많이 동원하고 있다”고 이 공격의 특징을 설명하기도 했다. 수준이 좀 높은 피싱 페이지들도 있었다. 이런 경우 정상적으로 보이는 PDF 파일이 아이프레임을 통해 노출되어 있었고, 크롬 웹 스토어로부터 폰트 관리자 확장 프로그램을 받도록 사용자들을 유도하고 있었다.

이 확장 프로그램을 설치하면 또 다른 외부 사이트에서부터 자바스크립트가 로딩된다. 하지만 악성 콘텐츠가 담겨 있지는 않다. 오히려 정상적인 제이쿼리 코드가 들어있는 스크립트였다. 이는 공격자들이 추적 및 분석을 피하기 위해 원래의 악성 코드를 대체한 것으로 보인다. 원래의 악성 폰트 관리자는 접근하는 데 성공했던 모든 웹사이트들로부터 데이터를 읽어 들인 것으로 보이며, 브라우저 쿠키나 비밀번호를 노린 것으로 넷스카웃은 보고 있다.

스톨른 펜슬 작전의 또 다른 특징은 공격자들이 세계 표준시 기준 06시부터 09시까지 RDP를 사용해 침해된 기기에 접근했다. 규칙적으로, 매일 같이 이러한 활동을 한 것이다. 참고로 UTC 06~09시면 북한 기준으로 15~18시다.

공격자들은 두 개의 서명된 툴들도 사용했다. 메카니칼(MECHANICAL)과 그리즈(GREASE)라고 불린다. 메카니칼은 키스트로크를 로깅하고, 피해자의 이더리움 주소를 공격자의 것으로 대체하는 기능을 가지고 있다. 그리즈는 윈도우 관리자 계정을 시스템에 추가하고 RDP를 활성화시킨다.

그 외에도 포트 스캐닝 툴, 메모리 및 비밀번호 덤핑 툴 등 여러 가지 공격 툴들도 다량으로 발견됐다. “KPortScan, PsExec, RDP 활성화를 위한 배치 파일들, Procdump, 미미캐츠(Mimikatz), 이터널 스위트(Eternal Suite), 니르소프트(Nirsoft) 툴들입니다. 니르소프트 툴들은 메일 패스뷰(Mail PassView), 네트워크 패스워드 리커버리(Network Password Recovery), 리모트 데스크톱 패스뷰(Remote Desktop PassView), 스니프패스(SniffPass), 웹브라우저패스뷰(WebBrowserPassView) 등입니다.”

이러한 툴들을 사용했다는 건 시스템 여기 저기에 저장되어 있는 각종 비밀번호를 훔쳐가겠다는 뜻이라고 넷스카웃은 분석한다. “이렇게 훔친 비밀번호들과 백도어 계정들, 그리고 강제로 연 RDP를 조합함으로써 위협 행위자들은 침해된 시스템으로의 지속적인 접근 방법을 마련한 것입니다.”

스톨른 펜슬 캠페인은 훨씬 거대한 공격 작전의 일부일 가능성도 높다. 게다가 아직 공격의동기가 명확히 드러난 것도 아니다. 그러나 현재까지 발견된 특징들인 기초 수준의 공격 기술, 정상적인 상업용 프로그램의 활용, 암호화폐 관련 공격 툴, 한국어 등을 놓고 봤을 때, 공격 주체는 북한일 가능성만은 높아 보인다.

“공격자들은 표적을 연구하고 관찰하는 데 꽤나 많은 시간과 자원을 투자했습니다. 이는 크롬 확장 프로그램 페이지에 적힌 말들을 보면 알 수 있습니다. 공격자들의 최종 목표는 아직까지 불분명한 가운데, 계정과 시스템에 대한 지속적인 접근 권한을 획득한 것까지는 분석을 통해 밝혀냈습니다. 특히 크리덴셜 탈취를 통해 지속성을 확보하는 것이 이들의 수법인 것으로 보입니다.”

3줄 요약
1. 여러 대학 기관과 생물 의학 단체 노리는 대규모 사이버 공격 발견됨.
2. 기초 수준의 공격 기술, 정상적인 상업용 프로그램의 활용, 암호화폐 관련 공격 툴, 한국어 = 북한
3. 공격의 최종 목표는 오리무중. 현재까지는 공격 지속시키기 위한 노력만 나타남.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>