본 글은 TTPs #9. 개인의 일상을 감시하는 공격전략 분석 리포트[1]에서 이어집니다.
본 보고서에서 분석한 조직은 최소 2012년 부터 국내를 대상으로 공격 활동을 펼치고 있습니다. 공격 조직의 이름은 각 보안업체들 마다 명명한 여러가지 이름으로 불리고 있으며 대표적인 이름은 아래와 같습니다. 본 보고서에서는 Kaspersky로부터 공유받은 샘플로부터 추적을 시작하였기 때문에 ScarCruft라는 이름을 차용하여 설명합니다.
| AKA | Named By |
|---|---|
| ScarCruft | Kaspersky |
| APT37 | Mandiant |
| 금성121 | ESTsecurity |
| Red Eyes | AhnLab |
| Ricochet Chollima | CrowdStrike |
ScarCruft 그룹은 국가기반 해킹 조직으로, 국가의 체제 유지를 위해 공격을 수행하는것으로 보입니다. 체제를 이탈한 주민, 해외 파견 근로자, 기자 및 선교사를 주 공격 대상으로 삼고 있습니다. 뿐만 아니라 공격 조직이 속한 국가와 관련된 국내 주요 인사들도 공격 대상입니다. 공격 대상에 대해 해킹에 성공하면 대상의 휴대전화 기록, 데스크톱 기록, 메신저 채팅 기록등을 탈취합니다. 침해한 시스템을 파괴하거나 탈취한 정보로 협박하는 등의 행위를 하지 않는 것으로 보아 감시 목적이 강한 것으로 추정됩니다.
목표 대상이 관심을 가질 만한 내용으로 스피어피싱 이메일을 송부하여 악성코드를 다운로드 받도록 유도하는 방식을 많이 사용합니다. 또한 메신저 채널에 위장 잠입하여 악성앱 설치를 유도하기도 합니다.
한국인터넷진흥원은 기존 발표한 보고서(TTPs #9 개인의 일상을 감시하는 공격전략 분석) 이후 지속적인 추적을 통해 ScarCruft 공격조직이 새로이 사용한 신규 명령제어 채널을 발견하였습니다. 우리는 신규 명령채널을 모니터링 할 수 있는 도구를 직접 개발 제작하여 작년 10월 중순부터 약 2개월간 공격자의 명령제어 과정을 24시간 추적하고 모니터링 하는 활동을 수행했습니다. 그 결과, 해당 조직의 타겟으로 확인된 감염자를 확인하여, 피해가 확산되지 않도록 조치했습니다. 공격자는 타겟을 감시하기 위하여 Chinotto 악성코드를 적극적으로 활용하며 VNC 설치, 정보유출 등의 활동을 하는 것으로 확인했습니다. 그리고 공격대상의 환경과 공격목적에 맞게 명령제어 체계를 재정비하는 정황도 확인하였습니다.
KrCert/CC는 지속적인 추적 활동을 통해 공격자의 변화된 TTP를 확인하고 이것을 알림으로써 방어자들에게 각자의 방어 환경에 맞는 전략을 수립하는데 도움을 줄 것입니다. 또한 단순히 공격자의 행위를 추적하고 TTPs를 파악하는 활동을 넘어 피해사실 인지 즉시 조치해 민간 기업과 개인의 위협을 제거하고 억지하기 위해 끊임없이 노력하고 있습니다.
2022년 연말 공개한 TTPs #9 개인의 일상을 감시하는 공격전략 분석을 통해, 고도화된 정보수집 활동과 공격 기법, 전술, 그리고 절차에 대하여 공유하였습니다. 본 문서에서는 보고서 게시 시점에 공개하지 않았던 Go 언어 기반의 새로운 명령제어 기법에 대하여 설명하고, 악성코드에 내재된 API 키를 활용하여 공격자의 행위를 모니터링한 결과를 공유합니다.
공격자는 공격을 수행하고 지속하기 위해 TTP 중 일부를 지속적으로 변화하며 공격을 수행하고 있습니다. 우리는 위협을 추적 및 제거하고 분석하는 과정에서 **기술(Techniques)**의 변화를 확인했습니다. 기존 공격 과정에서는 명령제어를 위해 스크립트 기반의 명령제어를 활용하였으나, 현재 Golang 기반 명령제어 체계를 구축해 더욱 더 은밀하게 명령제어를 수행하고 있음을 확인했습니다.