[데이터넷] 유럽의 보안 기업 이셋(ESET)은 북한 배후 공격자들이 구글 드라이브를 C&C 통신으로 이용하고 있다고 2일 밝혔다.
이셋에 따르면 북한 배후로 의심되는 스카크러프트(ScarCruft) APT 공격자들이 돌핀(Dolphin) 백도어를 이용해 드라이브·이동식 장치 모니터링, 주요 파일 반출, 키로깅, 스크린샷 촬영, 브라우저 자격 증명 탈취 등의 스파이 활동을 벌이고 있다.
돌핀은 비교적 단순한 형태의 악성코드를 사용해 지정된 대상에서만 실행된다. 감염된 시스템의 드라이브에서 관심 대상 파일을 검색하고 구글 드라이브 등 클라우드 스토리지를 통해 파일을 반출한다.
이셋에 따르면 스카크러프트는 2012년부터 활동해 온 스파이 조직으로, APT37, 리퍼(Reaper)로도 불린다. 이들은 우리나라를 주로 공격하고 있지만, 최근에는 아시아 다른 국가로도 활동 범위를 넓히고 있다.
이들은 지난해 한국 인터넷 신문사에 대한 워터링홀 공격, 인터넷 익스플로러 익스플로잇 등을 수행했으며, 초기에는 공격 대상이 로그인 한 구글과 지메일 계정의 설정을 수정해 보안 수준을 낮춰 타깃 조직의 지메일 계정 액세스를 유지한다.
첫번째 침투를 위해 사용하는 백도어는 비교적 낮은 수준의 공격을 수행하지만, 두번째 백도어인 돌핀은 다양한 버전으로 변경되면서 미리 선택한 공격 대상에만 수동으로 구축된다. 공격을 수행할 드라이브를 검색하고, 확장자명을 기준으로 파일을 검색, 데이터를 자동 반출한다.
돌핀은 윈도우 포터블 디바이스 API를 통해 스마트폰 등 휴대용 장치도 검색할 수 있으며, 브라우저에서 자격증켱을 탈취하고, 키로깅, 스크린샷 촬영도 가능하다.
