출처 : 보안뉴스

만능 스파이 활동 기능 백도어 ‘Dolphin’ 심고 C&C 통신 위해 구글 드라이브 악용

[보안뉴스 김경애 기자] 북한 추정 해커조직 APT37가 만능 스파이 활동 기능을 갖춘 백도어 ‘돌핀(Dolphin)’를 심어 남한을 정찰하고 명령제어(C&C) 서버와의 통신을 위해 구글 드라이브를 악용한 정황이 포착됐다.
 

▲Dolphin 백도어 실행으로 이어지는 공격 구성요소 개요[이미지=이셋코리아]

‘Dolphin’ 백도어는 드라이브 및 이동식 장치의 모니터링, 주요 파일 반출, 키로깅, 스크린샷 촬영, 브라우저에서의 자격 증명 탈취 등 다양한 스파이 기능을 갖췄다. 이 백도어는 공격자가 선택한 대상에 대해서만 실행되며, 비교적 단순한 형태의 악성코드를 사용해 초기 공격을 수행한 후 해당 백도어가 구축된다. ‘Dolphin’은 C&C 통신을 위해 클라우드 스토리지 서비스를 악용했는데, 특히 구글 드라이브(Google Drive)를 악용했다.
 

▲생성된 템플릿 예시 화면[이미지=ESET]

글로벌 보안기업 이셋(ESET) 연구진은 “Dolphin 백도어는 해커가 선택한 대상에 구축된 후, 감염된 시스템의 드라이브에서 관심 대상 파일을 검색하고 구글 드라이브를 통해 파일을 반출한다”며 “백도어 이전 버전에서 발견된 다른 기능으로는 공격 대상의 구글(Google)과 지메일(Gmail) 계정의 설정을 수정해 보안 수준을 낮추는 능력이 있는데, 이를 통해 공격 조직의 지메일 계정 액세스를 유지하는 것으로 보인다”고 분석했다.

‘Dolphin’ 백도어를 심은 해커조직은 스카크러프트(ScarCruft) 조직으로 지목되고 있다. 스카크러프트는 최소 2012년부터 활동해온 스파이 조직으로, APT37 또는 Reaper로 알려져 있다. 이들의 활동은 주로 한국에 중점을 두고 있으며, 다른 아시아 국가들도 공격 대상이 되고 있다. 주로 북한의 이해관계와 관련된 정부 및 군사 조직, 다양한 산업 분야의 기업에 관심을 기울인다.

스카크러프트는 2021년 북한 보도를 주로 하는 한국의 인터넷 신문사를 대상으로 워터링 홀 공격을 수행한 바 있다. 이 공격은 Internet Explorer 익스플로잇, BLUELIGHT라는 이름의 백도어로 이어진 셸코드 등 다양한 구성요소로 이루어졌다.

그런데 ‘BLUELIGHT’ 백도어보다 정교한 백도어 ‘Dolphin’이 등장했다. 2021년 4월, Dolphin을 처음 발견한 이셋 연구진은 이후 ‘Dolphin’ 백도어의 다양한 버전을 관찰해 공격 조직이 이 백도어의 기능을 강화하고 탐지를 피하기 위한 시도를 한 것을 파악했다.

이셋 연구진은 “‘BLUELIGHT’ 백도어가 기본적인 정찰과 평가를 수행했다면, ‘Dolphin’은 더욱 정교하다. 선택한 공격 대상에 대해서만 수동으로 구축되는 게 특징”이라며 “두 백도어 모두 명령에서 지정된 경로로부터 파일을 반출할 수 있지만, 돌핀은 드라이브를 적극적으로 검색하고 관심 대상 확장명에 해당하는 파일을 자동 반출한다”고 분석했다.
 

▲Dolphin 백도어 구성 화면(악성코드 설정값들)[이미지=ESET]

특히, 운영체제 버전, 악성코드 버전, 설치된 보안제품 목록, 사용자 이름, 컴퓨터 이름 등 공격대상 기기에 대한 기본 정보를 수집한다. 즉, 모든 고정 드라이브(HDD) 및 비고정 드라이브(USB)를 검색해 디렉토리 목록을 생성하고 확장명을 기준으로 파일을 반출한다는 얘기다.

이 뿐만 아니다. ‘Dolphin’은 Windows Portable Device API를 통해 스마트폰과 같은 휴대용 장치도 검색할 수 있다. 또한, 브라우저에서 자격 증명을 탈취하고 키로깅 및 스크린샷 촬영도 가능하다. 결국 데이터는 암호화된 ZIP 아카이브 형태로 구글 드라이브에 업로드된다.
 

▲Dolphin 악성코드 타임라인[이미지=ESET]

순천향대학교 염흥열 교수는 “국가 주도로 추정되는 사이버공격, 특히 백도어를 이용한 공격은 우수한 해킹 인력과 다양한 역량, 과거 공격 경험을 활용해 공격 기법을 고도화하고 있는 추세”라며 “특정 공격 대상자를 선정하고, 탐지를 피하기 위한 방법과, 구글 드라이브와 같은 클라우드 서비스를 이용하고 있다. 이러한 백도어의 신속하고 효과적인 탐지와 대응을 위해서는 인공지능 등을 이용한 탐지 능력 강화, 지속적인 모니터링과 효과적인 공격 정보 공유를 통해 이러한 공격에 대응해야 피해를 최소화 할 수 있다”고 말했다.

이스트시큐리티 문종현 이사는 “APT37은 한국에서 금성121 조직명으로도 알려져 있는데, 주로 대북분야 종사자들을 상대로 집중적으로 해킹하는 첩보활동이 포착되고 있다”며 “특히, 안드로이드 스마트폰용 악성앱을 카카오톡이나 텔레그램 등의 메신저를 통해 전달해 단말기 정보를 탈취하거나 도청 등을 시도한 바 있어 각별한 주의가 필요하다”고 덧붙였다.

이슈메이커스랩 관계자는 “APT37 해커조직은 2013년경부터 주로 탈북자와 북한 관련 연구원들을 타깃으로 공작하는 조직으로, 탈북자 모임 사이트나 북한 관련 뉴스 사이트를 대상으로 워터링홀 공격을 수행한다”며 “클라우드 기반 파일 공유 서비스를 명령제어(C2) 서버로 사용하며 지금까지 구글 드라이브를 비롯해 드롭박스, 피클라우드, 얀덱스, 스트림네이션 등 다양한 클라우드 서비스를 사용했다. 워터링홀 공격에서도 해당 사이트 방문자 전부가 아닌 특정 IP 대역이나 특정 조건(특정 시간대 등)의 방문자들만을 감염시키는 방식으로 더욱 은밀해지고 있기에 그들의 사이버 공작 활동들은 극히 일부만 알려지고 있다”고 분석했다.

고려대 정보보호대학원 김휘강 교수는 “돌핀 백도어가 노리는 파일들이 MS Office 문서들 외에 우리나라에서 많이 쓰이는 한쇼, 한셀, hwp 등과 같은 한컴 문서와 아웃룩 메일 등이 포함돼 있다”며 “돌핀 백도어와 연관된 것으로 추정되는 APT37 그룹(또는 ScarCruft)은 과거부터 여러 국가들의 외교부 직원들을 타겟으로 하여 공격을 진행한 적이 있다. 최근 외교부에서 미국과 협력해 가상화폐 제재와 관련된 논의가 되고 있는 시기에 맞물려 돌핀 백도어가 발견된 점을 주목해야 하고, 백도어 감염으로 인한 정보유출을 차단하기 위해 엔드포인트(End Point 보안을 강화해야 한다”고 강조했다.
[김경애 기자(boan3@boannews.com)]