연결된 블루투스 기기 인식하는 악성코드 제작 및 유포

▲ ‘스카크러프트’ 피해자 발생지역

[아이티데일리] 카스퍼스키랩(한국지사장 이창훈)은 한국어를 사용하는 해킹조직 ‘스카크러프트(ScarCruft)’의 활동을 발견했다고 14일 밝혔다.

카스퍼스키랩 연구진에 따르면, ‘스카크러프트’는 새로운 도구와 기법을 테스트 및 제작 중이며 수집하는 정보의 범위와 분량이 확대되고 있다. 특히 연결된 블루투스 기기를 인식하는 악성 코드를 만들어냈다.

스카크러프트의 지능형 지속 위협(APT) 공격은 국가 차원의 지원을 받고 있으며 일반적으로 북한과 관련된 정부 기관 및 기업을 공격 대상으로 삼아 정치적 이해관계 정보를 찾는 것으로 추정된다. 카스퍼스키랩은 ‘스카크러프트’가 진화를 거듭해 새로운 익스플로잇을 테스트하고 있으며 모바일 기기의 데이터에 대한 관심이 늘어 사이버 사보타주 활동에 합법적 도구 및 서비스를 적용하는 등 교묘한 수법을 드러내고 있다고 설명했다.

‘스카크러프트’의 공격 양상은 다른 여러 APT와 마찬가지로 스피어피싱 또는 전략적 웹사이트 감염 공격부터 시작된다. 이를 ‘워터링 홀’ 공격이라고도 하는데 특정 방문자만 감염시키기 위해 취약점을 비롯한 여러 가지 기법을 사용한다. 그 다음으로 윈도우 UAC(사용자 계정 제어) 기능을 피해갈 수 있는 1단계 감염이 진행되며, 이를 통해 조직 내에서 정상적으로 배포한 합법적 침투 테스트용 코드를 사용, 더 높은 권한으로 다음 페이로드를 실행한다.

스카크러프트 악성코드는 네트워크 수준의 탐지를 피하기 위해 이미지 파일에 악성 코드를 숨기는 스테가노그래피 기법을 사용한다. 마지막 단계에는 ROKRAT라는 클라우드 서비스 기반 백도어가 설치된다. 이 백도어는 공격 대상 시스템 및 기기에서 광범위한 정보를 수집해 4개의 클라우드 서비스(Box, Dropbox, pCloud, Yandex.Disk)로 전송한다.

카스퍼스키랩 연구진은 “‘스카크러프트’의 관심이 모바일 기기 데이터를 탈취하는 데 있으며 악성코드를 통해 윈도우 블루투스 API를 사용, 블루투스 기기 정보를 탐색할 수 있다”고 설명했다.

카스퍼스키랩의 분석 결과 이런 공격 활동의 피해자로는 북한과 관련됐을 가능성이 있는 베트남 및 러시아의 투자회사와 무역회사를 비롯, 홍콩 및 북한의 외교 기관 등이 있다. 또한 스카크러프트 감염으로 피해를 입은 러시아 기관 한 곳은 이전에 한국어 기반 해킹 조직인 ‘다크호텔(DarkHotel)’의 공격을 받은 전력도 있었다.

박성수 카스퍼스키랩코리아 책임 연구원은 “스카크러프트와 다크호텔은 공격 대상이 비슷하지만 사용하는 도구와 기법, 프로세스는 매우 다르며, 이를 통해 우리는 한 조직이 규칙적으로 다른 조직 뒤에 숨어 활동한다는 결론을 내렸다”면서, “스카크러프트는 조심스럽게 활동하며 눈에 띄지 않게 잠복하는 편이지만 도구 개발 및 배포 과정에서 상당히 교묘한 수법을 동원하는 활동적인 조직인 것을 알 수 있다”고 말했다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지