북한 해킹 그룹이 대한민국 정부를 대상으로 한 사이버공격에 RokRat 트로이목마를 사용하고 있다고 멀웨어바이트가 발표했다. 정부기관의 각별한 주의가 요구된다.
원격 접속 트로이목마(RAT)는 수년 동안 한글 오피스 문서 hwp 악용에 기반을 둔 공격에 연결되었다. 특히 북한 정부 후원 해킹조직으로 알려진 ‘APT37’이 RokRat 트로이목마를 공격에 활용하고 있는 것으로 분석됐다.
멀웨어바이트 측은, 이전 캠페인들이 .HWP 파일을 악용하는데 초점을 맞춰 왔던 반면 APT37에 연결된 새로운 피싱 문서 샘플은 이 그룹의 전략 이동을 보여준다고 전했다.
또 공격에 사용된 샘플 파일을 분석한 결과, 2020년 초부터 RokRat 트로이목마가 사용됐으며 거의 1년간 APT 공격이 이루어졌다고 밝혔다.
피싱 문서를 분석해 보면, APT37의 기존 .HWP 대신 내장 매크로가 VBA 자체 디코딩 기술을 사용해 마이크로소프트 오피스의 메모리로 디코딩한다. 또 탐지 회피 기술도 사용해 했다.
취약한 컴퓨터에 배포되면 RokRat는 Pcloud, Ropbox, Box, Yandex 등 공격자가 제어하는 클라우드 기반 서비스 계정으로 데이터를 보내기 전에 시스템에서 데이터를 수집하는 데 집중한다. 멀웨어는 파일을 훔치고, 스크린샷을 찍고, 크리덴셜을 캡처하고, 파일 디렉토리를 변조할 수 있다.
또한 RokRat는 샌드박스 및 가상화 존재 여부를 확인하고, 디버깅 소프트웨어를 검색하고, 마이크로소프트 및 iDefense와 관련된 DLL을 분석해 은폐를 시도한다.
한국 정부, 공공기관은 각별한 주의를 기울어야 할 상황이다.
★정보보안 대표 미디어 데일리시큐!★