바이러스토탈에 한 워드 문서가 올라왔다. 악성 매크로가 심겨진 것으로, 1년 전에 만들어진 것이었다. 간담회를 의뢰한다는 제목이 한글로 적혀 있는 이 악성 문서는 북한의 해커들이 한국을 공격할 때 활용한 것으로 보인다.
[보안뉴스 문가용 기자] 보안 업체 멀웨어바이츠(Malwarebytes)가 북한의 해킹 그룹에 대한 새로운 내용의 보고서를 발표했다. APT37로 분류되는 공격 단체가 록랫(RokRAT)이라는 멀웨어를 사용해 한국 정부 기관들로부터 정보를 훔쳐갔다는 내용이다. 이 공격은 약 1년 전에 발생한 것으로 보인다.
[이미지 = Malwarebytes]
멀웨어바이츠가 이 공격에 대해 알아낸 건 지난 12월로, 바이러스토탈(VirusTotal)에 업로드 된 한 악성 워드 문서를 발견하면서부터다. 회의 소집과 관련된 것처럼 보이는 이 문서는 2020년 1월에 컴파일링 된 것으로 나타났다. 파일에는 매크로가 삽입되어 있었고, 피해자가 이 문서를 열면 발동된다고 한다.
매크로가 발동되면 VBA 자가 디코딩 기능이 마이크로소프트 오피스의 메모리 영역 내에서 실행되며, 디스크에는 아무런 흔적이 남지 않는다. 이 과정이 끝나면 록랫의 변종이 메모장 애플리케이션에 임베드 된다. 록랫은 일종의 원격 접근 트로이목마(RAT)로, 피해자의 시스템으로부터 여러 가지 정보를 추출해 외부로 빼돌리는 기능을 가지고 있다.
멀웨어바이츠는 이 문서를 배포한 공격자가 북한의 APT37일 가능성이 높다고 보고 있다. APT37은 스카크러프트(ScarCruft), 리퍼(Reaper), 그룹123(Group123)이라는 이름으로도 불린다. 2012년부터 활동을 해 왔으며, 주로 한국의 여러 조직과 개인들을 노리는 것으로 알려져 있다. 주로 한국에서 많이 사용되는 HWP 파일을 미끼로 활용하는 것으로 유명하다. 하지만 이번에 발견된 샘플은 MS 워드 문서였다.
록랫은 ‘클라우드 기반 원격 접근 트로이목마’로 분류된다. 피해자의 시스템으로부터 정보를 훔쳐낸 뒤 여러 공공 클라우드 서비스에 저장하기 때문이다. 피씨클라우드(PcCloud), 드롭박스(Dropbox), 박스(Box), 얀덱스(Yandex)와 같은 서비스들이 주로 활용된다고 멀웨어바이츠는 설명한다. APT37은 2017년부터 록랫을 활용해 왔다.
이번 변종의 경우 과거 변종들과 마찬가지로 몇 가지 분석 방해 기능들도 가지고 있는 것으로 분석됐다.
1) iDefense SysAnalyzer, 마이크로소프트 디버깅 DLL, 샌드박시스(Sandboxies)와 관련이 있는 DLL이 있는지 확인한다.
2) IsDebuggerPresent와 GetTickCount를 호출함으로써 디버거를 식별한다.
3) VM웨어와 관련이 있는 파일이 있는지를 확인한다.
주요 스파이 기능에는 다음과 같은 것들이 있는 것으로 밝혀졌다.
1) 스크린샷 캡쳐
2) 사용자 이름, 컴퓨터 이름, BIOS 등 시스템 정보 수집
3) 수집한 데이터를 클라우드 서비스로 전송
4) 크리덴셜 탈취
5) 파일 관리 및 암호화/복호화 관리
이 록랫의 보다 상세한 분석은 보안 기업인 NCC그룹(NCC Group)과 시스코 탈로스(Cisco Talos) 팀이 이전에도 발표한 바 있다. NCC그룹의 보고서는 여기서(https://www.nccgroup.com/uk/about-us/newsroom-and-events/blogs/2018/november/rokrat-analysis/), 탈로스 팀의 보고서는 여기서(https://blog.talosintelligence.com/2017/11/ROKRAT-Reloaded.html) 열람이 가능하다. 이번 멀웨어바이츠의 보고서는 여기(https://blog.malwarebytes.com/threat-analysis/2021/01/retrohunting-apt37-north-korean-apt-used-vba-self-decode-technique-to-inject-rokrat/)에서 찾아볼 수 있다.
멀웨어바이츠는 “1년 전 발생한 공격은 스피어피싱으로부터 시작했을 가능성이 높다”며 “APT37이 HWP가 아닌 워드 파일을 공격에 활용한 드문 사례”라고 결론을 내렸다. 워낙 HWP 파일을 미끼로 활용하는 전략이 유명하니 전략적인 변화를 적용한 것이라고 멀웨어바이츠는 해석하고 있다. 아직까지 정확한 피해자는 밝혀지지 않고 있다. 한국 정부 기관들이 현재까지 발표된 관련 침해지표를 통해 점검하는 것이 필요해 보인다. 멀웨어바이츠도 보고서 말미에 침해지표를 정리해 두었다.
3줄 요약
1. 북한의 APT37의 1년 전 공격이 작년 12월에 발견되고 오늘 발표됨.
2. 록랫이라는 정찰용 멀웨어 사용한 캠페인, 주로 한국 정부 노리고 실행된 듯.
3. 피해 규모와 피해 조직 나오지 않아, 한국 정부 기관들이 스스로 점검할 필요 있음.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 보안 업체 멀웨어바이츠(Malwarebytes)가 북한의 해킹 그룹에 대한 새로운 내용의 보고서를 발표했다. APT37로 분류되는 공격 단체가 록랫(RokRAT)이라는 멀웨어를 사용해 한국 정부 기관들로부터 정보를 훔쳐갔다는 내용이다. 이 공격은 약 1년 전에 발생한 것으로 보인다.
[이미지 = Malwarebytes]
멀웨어바이츠가 이 공격에 대해 알아낸 건 지난 12월로, 바이러스토탈(VirusTotal)에 업로드 된 한 악성 워드 문서를 발견하면서부터다. 회의 소집과 관련된 것처럼 보이는 이 문서는 2020년 1월에 컴파일링 된 것으로 나타났다. 파일에는 매크로가 삽입되어 있었고, 피해자가 이 문서를 열면 발동된다고 한다.
매크로가 발동되면 VBA 자가 디코딩 기능이 마이크로소프트 오피스의 메모리 영역 내에서 실행되며, 디스크에는 아무런 흔적이 남지 않는다. 이 과정이 끝나면 록랫의 변종이 메모장 애플리케이션에 임베드 된다. 록랫은 일종의 원격 접근 트로이목마(RAT)로, 피해자의 시스템으로부터 여러 가지 정보를 추출해 외부로 빼돌리는 기능을 가지고 있다.
멀웨어바이츠는 이 문서를 배포한 공격자가 북한의 APT37일 가능성이 높다고 보고 있다. APT37은 스카크러프트(ScarCruft), 리퍼(Reaper), 그룹123(Group123)이라는 이름으로도 불린다. 2012년부터 활동을 해 왔으며, 주로 한국의 여러 조직과 개인들을 노리는 것으로 알려져 있다. 주로 한국에서 많이 사용되는 HWP 파일을 미끼로 활용하는 것으로 유명하다. 하지만 이번에 발견된 샘플은 MS 워드 문서였다.
록랫은 ‘클라우드 기반 원격 접근 트로이목마’로 분류된다. 피해자의 시스템으로부터 정보를 훔쳐낸 뒤 여러 공공 클라우드 서비스에 저장하기 때문이다. 피씨클라우드(PcCloud), 드롭박스(Dropbox), 박스(Box), 얀덱스(Yandex)와 같은 서비스들이 주로 활용된다고 멀웨어바이츠는 설명한다. APT37은 2017년부터 록랫을 활용해 왔다.
이번 변종의 경우 과거 변종들과 마찬가지로 몇 가지 분석 방해 기능들도 가지고 있는 것으로 분석됐다.
1) iDefense SysAnalyzer, 마이크로소프트 디버깅 DLL, 샌드박시스(Sandboxies)와 관련이 있는 DLL이 있는지 확인한다.
2) IsDebuggerPresent와 GetTickCount를 호출함으로써 디버거를 식별한다.
3) VM웨어와 관련이 있는 파일이 있는지를 확인한다.
주요 스파이 기능에는 다음과 같은 것들이 있는 것으로 밝혀졌다.
1) 스크린샷 캡쳐
2) 사용자 이름, 컴퓨터 이름, BIOS 등 시스템 정보 수집
3) 수집한 데이터를 클라우드 서비스로 전송
4) 크리덴셜 탈취
5) 파일 관리 및 암호화/복호화 관리
이 록랫의 보다 상세한 분석은 보안 기업인 NCC그룹(NCC Group)과 시스코 탈로스(Cisco Talos) 팀이 이전에도 발표한 바 있다. NCC그룹의 보고서는 여기서(https://www.nccgroup.com/uk/about-us/newsroom-and-events/blogs/2018/november/rokrat-analysis/), 탈로스 팀의 보고서는 여기서(https://blog.talosintelligence.com/2017/11/ROKRAT-Reloaded.html) 열람이 가능하다. 이번 멀웨어바이츠의 보고서는 여기(https://blog.malwarebytes.com/threat-analysis/2021/01/retrohunting-apt37-north-korean-apt-used-vba-self-decode-technique-to-inject-rokrat/)에서 찾아볼 수 있다.
멀웨어바이츠는 “1년 전 발생한 공격은 스피어피싱으로부터 시작했을 가능성이 높다”며 “APT37이 HWP가 아닌 워드 파일을 공격에 활용한 드문 사례”라고 결론을 내렸다. 워낙 HWP 파일을 미끼로 활용하는 전략이 유명하니 전략적인 변화를 적용한 것이라고 멀웨어바이츠는 해석하고 있다. 아직까지 정확한 피해자는 밝혀지지 않고 있다. 한국 정부 기관들이 현재까지 발표된 관련 침해지표를 통해 점검하는 것이 필요해 보인다. 멀웨어바이츠도 보고서 말미에 침해지표를 정리해 두었다.
3줄 요약
1. 북한의 APT37의 1년 전 공격이 작년 12월에 발견되고 오늘 발표됨.
2. 록랫이라는 정찰용 멀웨어 사용한 캠페인, 주로 한국 정부 노리고 실행된 듯.
3. 피해 규모와 피해 조직 나오지 않아, 한국 정부 기관들이 스스로 점검할 필요 있음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png){kind=spacer}
.png)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
