개요 - 북한 추정 해커조직 APT37가 백도어 ‘돌핀(Dolphin)’를 심어 남한을 정찰하고 명령제어(C&C) 서버와의 통신을 위해 구글 드라이브를 악용한 정황이 포착
내용 ① ‘Dolphin’ 백도어
- 공격자가 선택한 대상에 대해서만 실행되며, 비교적 단순한 형태의 악성코드를 사용해 초기 공격을 수행한 후 백도어가 구축
- 드라이브 및 이동식 장치의 모니터링, 주요 파일 반출, 키로깅, 스크린샷 촬영, 브라우저에서의 자격 증명 탈취 등 다양한 스파이 기능
- C&C 통신을 위해 클라우드 스토리지 서비스를 악용했는데, 특히 구글 드라이브(Google Drive)를 악용
- 감염된 시스템의 드라이브에서 관심 대상 파일을 검색하고 구글 드라이브를 통해 파일을 반출
- 공격 대상의 구글(Google)과 지메일(Gmail) 계정의 설정을 수정해 보안 수준을 낮추는 능력이 있는데, 이를 통해 공격 조직의 지메일 계정 액세스를 유지

② 스카크러프트(ScarCruft) 조직의 수행으로 추측 (APT37 또는 Reaper 또는 금성121로 알려짐)
- 2021년 북한 보도를 주로 하는 한국의 인터넷 신문사를 대상으로 워터링 홀 공격을 수행한 이력
- Internet Explorer 익스플로잇, BLUELIGHT라는 백도어로 이어진 셸코드 등 다양한 구성요소로 이루어짐

③ ‘BLUELIGHT’ 백도어보다 정교한 백도어 ‘Dolphin’이 등장
- BLUELIGHT 대비 기능 강화 및 탐지 회피 기능 존재 
- BLUELIGHT : 기본적인 정찰과 평가를 수행
- Dolphin :
     선택한 공격 대상에 대해서만 수동으로 구축
     모든 고정 드라이브(HDD) 및 비고정 드라이브(USB)를 검색해 디렉토리 목록을 생성
     확장명을 기준으로 파일을 반출
     Windows Portable Device API를 통해 스마트폰과 같은 휴대용 장치도 검색 가능
     브라우저에서 자격 증명을 탈취하고 키로깅 및 스크린샷 촬영도 가능
     데이터는 암호화된 ZIP 아카이브 형태로 구글 드라이브에 업로드
비고 - 백도어를 이용한 공격은 우수한 해킹 인력과 다양한 역량, 과거 공격 경험을 활용해 공격 기법을 고도화하고 있는 추세
- 백도어의 신속하고 효과적인 탐지와 대응을 위해서는 인공지능 등을 이용한 탐지 능력 강화, 지속적인 모니터링과 효과적인 공격 정보 공유를 통해 이러한 공격에 대응해야 피해를 최소화 할 수 있음

- APT37은 한국에서 금성121 조직명으로도 알려져 있는데, 주로 대북분야 종사자들(탈북자, 북한 관련 연구원)을 상대로 집중적으로 해킹하는 첩보활동이 포착
- 안드로이드 스마트폰용 악성앱을 카카오톡이나 텔레그램 등의 메신저를 통해 전달해 단말기 정보를 탈취하거나 도청 등을 시도 이력 존재
- 탈북자 모임 사이트나 북한 관련 뉴스 사이트를 대상으로 워터링홀 공격을 수행
- 클라우드 기반 파일 공유 서비스를 명령제어(C2) 서버로 사용

- 돌핀 백도어가 노리는 파일들이 MS Office 문서들 외에 우리나라에서 많이 쓰이는 한쇼, 한셀, hwp 등과 같은 한컴 문서와 아웃룩 메일 등이 포함

- 백도어 감염으로 인한 정보유출을 차단하기 위해 엔드포인트(End Point 보안을 강화해야 할 필요
- 개인이 이러한 공격은 막기 어려워 구글과 공동으로 해당 조직이 사용하는 구글 드라이브와 지메일 계정을 모니터링하고 추적하는 협조 체계 구축이 필요

 

보안뉴스

 

북 해커조직 APT37, 만능 기능 ‘돌핀’ 백도어로 남한 정찰

북한 추정 해커조직 APT37가 만능 스파이 활동 기능을 갖춘 백도어 ‘돌핀(Dolphin)’를 심어 남한을 정찰하고 명령제어(C&C) 서버와의 통신을 위해 구글 드라이브를 악용한 정황이 포착됐다.

www.boannews.com

+ Recent posts