한국어 사용 해킹조직, 블루투스 기기 정보 수집
상태바
한국어 사용 해킹조직, 블루투스 기기 정보 수집
  • 김선애 기자
  • 승인 2019.05.14 15:39
  • 댓글 0
이 기사를 공유합니다

카스퍼스키랩 “스카크러프트, 새로운 익스플로잇 공격 진행…한국어 기반 공격자 다크호텔과 연관”

[데이터넷] 한국어를 사용하는 해킹조직 스카크러프트(ScarCruft)가 연결된 블루투스 기기를 인식하는 악성코드를 제작해 새로운 공격을 펼치고 있다고 카스퍼스키랩이 밝혔다. 스카크러프트는 비즈니스 이메일 침해(BEC), 암호화폐 타깃 공격 등을 벌여왔으며, 북한과 연관있을 것으로 의심된다.

카스퍼스키랩은 최근 스카크러프트가 새로운 익스플로잇을 테스트하고 있으며, 모바일 기의 블루투스를 인식해 공격 활동을 시도하는 것으로 분석된다. 워터링홀 공격을 이용해 특정 사이트 방문자를 감염시킨 후 윈도우 사용자 계정 제어(UAC) 기능을 우회해 추가 악성코드를 다운로드한다.

네트워크 수준의 탐지를 피하기 위해 이미지 파일에 악성 코드를 숨기는 스테가노그래피 기법을 사용하며, ROKRAT라는 클라우드 서비스 기반 백도어를 설치한다. 이 백도어는 공격 대상 시스템과 기기에서 광범위한 정보를 수집해 박스, 드롭박스, 피클라우드, 얀덱스디스크(Yandex.Disk) 등 4개의 클라우드 서비스로 전송한다. 스카크러프트는 윈도우 블루투스 API를 사용해 기기 정보를 탐색하기 위해 이 악성코드를 이용하는 것으로 분석된다.

▲스카크러프트가 사용한 클라우드 기반 백도어

한편 스카크러프트의 피해를 입은 러시아의 한 기관은 이전에 다크호텔 공격을 받았던 것으로 알려진다. 다크호텔 역시 한국어 기반 해킹 조직으로 의심되고 있으며, 정·재계 유명인사가 주로 이용하는 동남아시아 고급 호텔의 인터넷을 이용해 악성코드를 감염시키고 타깃 인사로부터 중요 정보를 탈취하는 사이버 스파이 조직이다.

박성수 카스퍼스키랩코리아 책임 연구원은 “스카크러프트와 다크호텔이 연관되어 있는 것으로 보이는 사례가 다수 있다. 이들이 노리는 공격 대상은 비슷하지만 사용하는 도구와 기법, 프로세스가 다르다. 이는 한 조직이 규칙적으로 다른 조직 뒤에 숨어 활동하는 것이라고 설명할 수 있다”며 “스카크러프트는 조심스럽게 활동하며 눈에 띄지 않게 잠복하는 편이지만 도구 개발 및 배포 과정에서 상당히 교묘한 수법을 동원하는 활동적인 조직으로 추정한다”고 말했다.

한편 카스퍼스키랩은 이와 같은 공격에 대응하기 위해 최신 위협 인텔리전스를 사용하고, ‘카스퍼스키 EDR’과 같은 엔드포인트 보안 솔루션을 사용하며, 비즈니스용 보안 솔루션을 구축할 것을 권고했다. 


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.