A37 그룹의 돌고래 악성코드, 데이터 도용 및 한국 신문 타겟

ESET 회사의 보안 연구원들은 “돌고래“라는 이름의 알려지지 않은 백도어를 발견했으며, 이는 북한 해커들이 1년 이상 파일을 훔치고 이를 Google Drive로 전송하는 고도로 목표 지향적인 작전에서 사용되었습니다.

APT 37 그룹인 Reaper, Red, Eyes, Erebus 및 Scarcruft는 매우 특정한 개체를 대상으로 돌고래 악성코드를 사용했습니다. 이 그룹은 2012년부터 북한의 이익과 관련된 스파이 활동과 연결되어 있습니다.

악성코드인 돌고래는 ESET 연구원들에 의해 2021년에 처음 탐지되었으며, 그 이후로 개선된 코드와 탐지 회피 방법을 가진 새로운 변종으로 발전했습니다.

공격자들은 돌고래만 사용하는 것이 아닙니다; BLUELIGHT가 돌고래와 함께 사용됩니다. BLUELIGHT는 이전 AP37 캠페인의 일부였던 기본 스파이 도구로, 웹 브라우저에서 비밀번호를 훔치고, 키 입력을 기록하며, 스크린샷을 찍는 등 더 강력한 기능을 가지고 있습니다.

BLUELIGHT는 감염된 컴퓨터에서 돌고래 파이썬 로더를 시작하는 데 사용되지만, 스파이 활동에서는 매우 제한된 역할을 합니다.

돌고래 파이썬 로더는 스크립트와 셸코드를 포함하고 있으며, 다단계 XOR 복호화 생성을 시작하여 최종적으로 새로 생성된 메모리 프로세스에서 돌고래 페이로드를 생성합니다.

악성코드 돌고래는 Google Drive를 명령 중심 C2 서버로 사용하여 훔친 파일을 저장하는 C++ 실행 파일이며, 악성코드는 Windows 레지스트리를 변경하여 지속성을 시작합니다.

읽기: 가짜 MSI 애프터버너 포털, 윈도우 게이머를 대상으로 암호화폐 채굴

악성코드는 초기 단계에서 손상된 컴퓨터에서 다음 정보를 수집합니다.

• 사용자 이름

• 컴퓨터 이름

• 로컬 및 외부 IP 주소

• 설치된 안티바이러스

• RAM 크기 및 사용량

• 디버깅 또는 네트워크 검사 도구의 존재

• 운영 체제 버전

또한, 악성코드는 C2 서버에 현재 구성, 시간 및 버전 번호를 전송하며, 이 구성은 키로거와 데이터 유출 지침 및 Google Drive API의 로그인 세부정보, 암호화 키 및 접근 권한을 포함합니다.

ESET 연구원들에 따르면, 공격자들은 Google Drive에 명령을 업로드하여 악성코드에 전송하였고, 그 결과 백도어인 돌고래는 이러한 명령을 실행한 결과를 업로드합니다. 또한, 돌고래는 로컬 및 이동식 하드 드라이브를 스캔하여 이미지, 문서, 인증서 및 이메일과 같은 다양한 데이터를 포함하는 기능이 향상되었습니다. 이 기능은 이후 확장자로 데이터를 필터링하는 기능으로 더욱 개선되었습니다.

악성코드는 감염된 컴퓨터에 연결된 모든 전화기를 스캔할 수 있는 검색 기능이 향상되었으며, 이는 Windows Portable Drive API를 사용합니다. 그러나 ESET의 연구원들은 이 기능이 그들이 발견한 악성코드의 첫 번째 버전에서 여전히 개발 중이라고 말합니다!

그 예시는 다음과 같습니다.

희생자의 컴퓨터에 존재하지 않을 가능성이 높은 사용자 이름으로 하드코드 경로 사용.

변수 초기화 누락 - 일부 변수는 0으로 초기화된 것으로 가정되거나 초기화 없이 포인터로 역참조됩니다.

확장자 필터링 누락.

또한, 악성코드는 관련 설정을 변경하여 피해자의 Google 계정 보안을 약화시킬 수 있으며, 그 결과 해커가 Gmail 계정에 더 오랜 시간 동안 접근할 수 있도록 합니다. 또한, 악성코드는 Google Chrome의 GetAsyncKeyStateAPI를 악용하여 키 입력을 기록할 수 있습니다. 매 30초마다 활성 창의 스크린샷을 찍을 수 있습니다.

ESET 보안 회사의 연구원들은 2022년 1월 이후로 이미 네 가지 다른 변종의 돌고래 악성코드를 발견했으며, 새로운 버전의 돌고래가 존재할 가능성이 있으며, 특정 대상을 겨냥한 공격에 이미 사용되었을 가능성이 있습니다.

ESET 연구원들은 돌고래 악성코드가 북한과 관련된 활동 및 사건을 보도하는 한국 신문에 대한 물구멍 공격에 사용되었다고 추가했습니다. 해커들은 Internet Explorer를 사용하여 돌고래 악성코드를 배포하여 호스트를 타겟으로 삼았습니다.

읽기: Google, 올해 8번째 제로데이 취약점을 수정하기 위해 Chrome 업데이트를 추진합니다.