2024-03-29 17:00 (금)
해킹 공격그룹 ‘ScarCruft’의 한국 타깃 공격 전략 분석
상태바
해킹 공격그룹 ‘ScarCruft’의 한국 타깃 공격 전략 분석
  • 길민권 기자
  • 승인 2022.12.05 13:14
이 기사를 공유합니다

KISA 종합분석팀, ‘TTPs #9: 개인의 일상을 감시하는 공격전략 분석’ 보고서 공개
보고서 내용 중
보고서 내용 중

북한 정부 후원 추정 해킹그룹들의 한국에 거주하는 특정 인물들을 대상으로 한 정보 수집 활동이 지속적으로 포착되고 있다. 

KISA 종합분석팀은 5일 ‘TTPs #9: 개인의 일상을 감시하는 공격전략 분석’ 최종 보고서를 공개하고 2021년부터 현재까지 계속 진행 중인 공격그룹의 공격 기법과 전략, 전술 등에 대해 상세히 공유했다. 

보고서에 따르면, 기업정보 탈취가 중심이 아닌, 공격 대상(인물)의 개인 PC, 업무용 PC를 노려 단말기 정보(데스크톱, 모바일 기기)를 탈취하는 고도화된 정보수집 활동과 공격 기법, 전술 그리고 절차에 대해 서술한다고 밝히고 있다. 

이 보고서에서 정의한 공격 활동은 2021년부터 현재까지 계속 진행 중인 공격이다. 공격자가 악용한 서버를 분석 했으며, 이 과정에서 공격자의 서버에서 확인된 여러 공격 기법과 전략, 전술 등을 분석했다. 또 안랩, 이스트시큐리티, 카스퍼스키 등 여러 백신업체에서 해당 공격 활동과 관련된 악성코드, 명령어 등 정보를  공유받아 더욱 명확하게 공격 프로세스에 대해 확인했다고 밝혔다.  

백신업체들은 이 공격의 주체를 각각 ScarCruft, 금성121, Kimsuky 등으로 구분 짓고 관리한다. 이번 보고서는 특정 인물들을 대상으로 한 정보수집 공격 분석 뿐 아니라, 보안 사고가 해당 그룹들과 어떠한 연관성을 가지고 있는지 전하고 있다. 

한편 KISA는 보고서를 통해, 일부 그룹과의 연관성에도 특정 그룹 고유의 악성코드를 활용한다는 점 등 침해사고에서 확인된 TTPs를 종합적으로 분석한 결과,  사고의 공격 주체를 ‘ScarCruft’ 그룹의 소행으로 결론을 내고 있다. 

◆ScarCruft과 Kimsuky 공격 그룹

ScarCruft는 한국에 거주하고 있는 특정 인물들의 정보를 수집하기 위해, 포털 사이트를 사칭한 피싱 이메일을 통해 침투하고 그 과정에서 Chinotto 악성코드를 활용한다. 

또 침해사고를 비추어보면 Kimsuky(김수키)와 유사한 인프라가 사용되었음에도 불구하고 범용적으로 한국의 기업과 기관, 개인을 가리지 않고 공격하는 Kimsuky라고 판단하기 보다 특정 인물들의 정보를 수집하는 ScarCruft 그룹의 공격으로 판단하는 것이 적절해 보인다고 전했다.  

침해사고에서 확인된 명령제어 및 정보유출형 악성코드인 “Chinotto”는 ScarCruft그룹 고유의 악성코드다. 그러나 명령제어지 조사를 통해 확인된 공격자원(악성코드 명령제어 서버, 피싱메일 발송기, 파워셸 스크립트 등)은 Kimsuky 그룹의 공격 자원과 일부 유사하다는 점을 발견했다. 

ScarCruft C&C 서버에서 발견한 파일인 verify.php를 살펴보면 코드의 일부가 난독화되어 있다. 디코딩을 할 때에 ‘$checksum=”ccc”’라는 문자열을 확인하여 디코딩이 제대로 되었는지 확인한다.

이때 디코딩 함수의 이름은 aes_dec이지만 실제로 디코딩 기능은 key값과 XOR 연산으로 이루어진다.

인코딩된 코드를 해독하면 메일 송신 기능이 담긴 코드가 보이는데 그 중 Mobile_Detect란 이름의 Class가 존재한다. 해당 기능은 2020년에 Kimsuky가 관리하는 서버에서도 발견된 적이 있다. 

Kimsuky가 관리하는 서버에서 Mobile_Detect.php란 이름의 파일이 존재했으며, 이 당시에는 Mobile_Detect 기능이 코드의 일부가 아닌 단독 파일로 존재했다.  

ScarCruft이 피싱 메일 발송에 악용한 피해기업에서 백도어용 계정을 생성할 때 Kimsuky 그룹이 계정생성시 보여준 특징과 동일하게 default란 이름으로 생성되었다.

Chinotto 악성코드 정보수집 서버에서 발송한 피싱 이메일 형식과 Kimsuky의 공격자원 서버에서 발송한 이메일 형식이 유사한것으로 확인되었다. 

두 메일 모두 동일 기관을 사칭한 피싱메일을 발송하였으며, 다른점은 Kimsuky의 피싱 이메일에서는 ‘쿠기 삭제 봉사’라는 어색한 한국어를 구사한 반면 Scarcruft의 피싱 이메일에서는 ‘쿠키 삭제서비스’라는 한국에서 흔히 사용하는 외래어로 표현해 자연스럽게 바뀌었다.

또 파워셸을 통한 작업 스케둘러 등록시 코드를 비교해 보면, 두 공격에 schtasks 명령어가 사용되었으며, 옵션 값 순서 역시 동일하다. 또한, 작업스케줄러를 통한 명령 수행역시 둘 다 동일하게 mshta를 통해 추가 파일을 다운로드 받아 실행시키는 동작을 수행하게 된다.

침해사고 분석과정에서 확인된 일부 사고에서 ScaCruft와 Kimsuky그룹의 특징이 일부 오버랩(overlap)되는 경우가 있다. 다만 이 내용이 두 그룹의 자원이 일부 교집합(intersection)된다는 것이며, 부분집합(subset)이 아님을 명심해야 한다. 최근 발생하고 있는 침해사고에서는 솔루션 악용이나 공개된 악성 소프트웨어 등을 침투에 활발하게 악용하고 있다. 때문에 침해사고에서의 공격기법의 중첩(overlap)이 빈번하게 발생하고 있다.

KISA는 “우리는 공격그룹이 사용하는 캠페인의 명확한 TTPs를 분석하고, 확인된 TTPs를 기반으로 각 구간에서 드러나는 공격자의 특징을 탐지 함으로써 공격자의 공격 속도를 늦출수 있도록 계속 노력할 것”이라며 “공격자는 TTPs를 쉽게 확보하거나 버리기 어렵다. 타깃이 정해진 공격자는 타깃의 방어 환경을 무력화하기 위해 많은 시간을 들여서 TTPs를 학습하고 연습해 확보된 TTPs를 지속 활용할 수 있는 대상들이 새로운 타깃이 된다. TTPs를 이해한 방어자는 '공격자의 TTPs가 방어자 환경에 유효한 것인지' 여부와, '유효하다면 TTPs를 무력화할 수 있는 방어 전략은 무엇인지' 등 2가지를 설명할 수 있다. 이를 통해 효과적인 방어전략을 구축할 수 있다”고 강조했다. 

보고서는 KISA 인터넷보호나라에서 확인할 수 있다. 

★정보보안 대표 미디어 데일리시큐!

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★