북한 해커가 돌핀이라는 새로운 백도어로 한국과 아시아 국가를 공격하고 있다.
이셋(ESET)의 한국 법인 이셋코리아는 북한 해커 집단 스카크러프트(ScarCruft)가 사용하는 백도어인 돌핀(Dolphin)에 대한 분석 결과를 발표했다.
이셋에 따르면, 돌핀 백도어는 ▲드라이브 ▲이동식 장치의 모니터링 ▲주요 파일 반출 ▲키로깅, 스크린샷 촬영 ▲브라우저에서 자격 증명 탈취 등 다양한 공격을 수행한다.
백도어는 선택된 대상에 대해서만 실행되며, 비교적 단순한 형태의 악성코드를 사용한다. 구체적으로는 C&C(명령 및 제어) 통신을 위해 구글 드라이브를 이용한다.
이셋 연구팀은 “돌핀은 감염된 시스템의 드라이브에서 관심 대상 파일을 검색하고 구글 드라이브를 통해 파일을 꺼낸다. 백도어의 이전 버전과 달라진 기능으로는, 공격 대상의 구글 계정의 설정을 수정해 보안 수준을 낮추는 것이다. 이를 통해 계정에 대한 접근 권한을 획득한다”고 설명했다.
지난 2021년, 스카크러프트는 북한에 대한 소식을 다루는 국내 언론사를 대상으로 워터링 홀 공격을 감행했다. 당시 공격에 사용된 백도어는 인터넷 익스플로어 익스플로잇, BLUELIGHT였다.
2021년 4월, 백도어를 처음 발견한 이후 이셋 연구팀은 백도어의 다양한 버전을 관찰했다. 그 결과, 해커가 탐지를 피하기 위해 백도어 기능을 강화한 것을 파악했다.
이전 버전인 BLUELIGHT 백도어가 감염된 장치에 대한 기본적인 정찰-평가를 수행한다면, 돌핀 백도어는 선택한 파일만 공격한다. 두 백도어 모두 명령에서 지정된 경로에서 파일을 꺼낼 수 있지만, 돌핀은 드라이브를 검색해 공격 대상 파일을 자동으로 색출한다.
백도어는 운영 체제 버전, 악성코드 버전, 설치된 보안 제품 목록, 사용자 이름, 컴퓨터 이름 등, 공격 대상 기기에 대한 기본 정보를 수집한다. 또한 Windows Portable Device API를 통해 스마트폰과 같은 휴대 장치도 검색한다. 아울러 브라우저에서 자격 증명을 탈취하고 키로깅 및 스크린샷 촬영도 가능하다. 또한 얻은 모든 데이터는 암호화된 ZIP 아카이브 형태로 구글 드라이브에 업로드한다.
스카크러프트는 최소 2012년부터 활동해온 해커 집단으로 APT37 혹은 Reaper라고도 불린다. 이들은 한국 외에 다른 아시아 국가들도 공격하고 있다. 특히 북한과 관련된 정부 및 군사 조직, 다양한 산업 분야의 기업을 노리는 것으로 알려진다.
