ALL MENU

Technology
S2W's Technology
AI
Big Data
Security
Products
SAIP
QUAXAR
XARVIS
EYEZ
Services
AI Data Consulting
Penetration Testing
Incident Response
Request for Intelligence
Resources
Event
Webinar
SIS
Conference
About S2W
About S2W
History
News

QUICK LINKS

Resources
  • 연구
  • 위협 인텔리전스 보고서
북한 배후 Scarcruft 그룹의 ROKRAT 악성코드 클러스터 분석 보고서
2024.11.28

S2W 위협 인텔리전스센터에서 북한 배후 위협그룹(이하 APT 그룹) Scarcruft 분석에 대한 보고서를 발행했습니다.


Scarcruft는 최근 발행된 ‘금융 보안 보고서 4부’에서 언급한 북한, 중국, 러시아 배후 APT 그룹 16종 프로파일링에 포함된 북한 배후 위협 그룹 중 하나로, 해당 그룹이 사용하는 악성코드에 대해 파악할 수 있는 난이도 높은 위협 인텔리전스 보고서입니다.


✅ 보고서 제목:


스카크러프트(Scarcruft)의 ROKRAT 악성코드 클러스터 소개



✅ 보고서 요약:


- 북한의 APT 그룹 Scarcruft는 2016년에 처음으로 활동을 시작한 것으로 알려져 있으며 APT37, Red Eyes, Reaper, Group123 등으로 불리고 있습니다.


- Scarcruft가 등장한 초기에는 주로 한국을 대상으로 한 공격이 주를 이루었으며, 한국 내 탈북자, 북한과 관련있는 시민단체 및 언론매체, 관련 정부 기관이 공격 대상에 포함됩니다.


- 2023년 현재까지 활발하게 공격을 이어오고 있는 Scarcruft는 최근 일본, 베트남, 러시아, 네팔, 중동 지역 국가 등으로 공격 대상을 확대했습니다.


- Scarcruft 그룹이 사용하는 악성코드 클러스터 중 ROKRAT 계열의 악성코드는 Cisco Talos에서 2017년에 처음으로 언급한 RAT 유형의 악성코드이며, 공격 대상의 운영체제에 따라 Windows 버전, MacOS 버전, Android 환경을 대상으로 유포한 이력이 존재합니다.

  • ROKRAT 악성코드는 pCloud, Yandex와 같은 정상 Cloud 서비스를 C&C 서버로 활용하여 정보탈취 및 명령을 수행하는 악성코드로, ROKRAT 악성코드 내부에는 각 Cloud 서비스와 통신을 위한 OAuth 토큰을 포함하고 있습니다.

  • 인증 후 Cloud 서비스로부터 암호화 된 명령코드를 받아 해독 후 수행하거나, 감염 기기로부터 탈취한 정보를 Cloud 서비스로 업로드 합니다.


- 본 보고서에서는 Scarcruft 그룹의 ROKRAT 계열 악성코드 유포와 연관된 4가지 공격 케이스와 유포 사용된 감염 체인 및 관련 악성코드 기능에 대해 설명합니다.



📌 4가지 공격 케이스와 유포 사용된 감염 체인 및 관련 악성코드는 무엇인가요?


ROKRAT 악성코드의 경우 초기 침투를 위해 악성 파일이 첨부된 스피어피싱 메일을 사용하고 있습니다. 2022년 7월 이후부터 ROKRAT의 감염 체인은 초기 단계에 사용되는 악성코드에 따라 크게 두 가지로 구분되는데, 첫 번째는 DROKLINK이고, 두 번째는 DROKDOC 케이스입니다.


Case A. ROKRAT distributed through DROKLINK

- DROKLINK를 통해 유포되는 ROKRAT 악성코드의 감염 흐름과 단계별 상세 기능을 보고서 전문을 통해 확인하실 수 있습니다.


Case B. ROKRAT distributed through DROKDOC

- DROKDOC 악성코드는 악성 매크로가 포함된 문서 파일 실행시 매크로 실행을 통해 악성행위가 수행됩니다. DROKDOC 악성코드를 통해 유포되는 ROKRAT 악성코드의 감염 흐름과 단계별 상세 기능은 보고서 전문을 통해 확인하실 수 있습니다.


Case C. Clugin & Cumulus

- Scarcruft는 2017년도 중순에 워터링홀 공격을 통해 특정 단말기를 대상으로 악성 앱을 유포한 공격을 수행하였습니다. 2017년도 말에는 한국 내 점유율 1위를 차지하는 ‘카카오톡’ 메신저를 통해 북한 인권단체 관계자 및 북한 전문매체 기자를 대상으로 악성 앱 설치를 유도하는 공격 캠페인 또한 수행하였습니다. 그 외에도 Facebook을 통해 접촉하거나, Google PlayStore에 업로드하는 방식으로도 악성 앱을 유포하기도 하였습니다. 이때 유포된 악성 앱들도 모두 ROKRAT의 모바일 버전으로 식별되었습니다.


Case D. CloudMensis targeting MacOS

- ESET은 2022년 7월에 macOS를 대상으로 한 CloudMensis 악성코드에 대한 내용을 공개한 바 있습니다. CloudMensis 악성코드는 감염 시스템 정보 및 파일 탈취, 스크린 캡처, 명령어 실행 등의 악성 행위를 수행하며, Sacrcruft 그룹의 macOS 버전 ROKRAT으로 식별되었습니다.



✅ 위협 탐지 권장 사항 및 조치 방안:


- ROKRAT 악성코드 및 유포 방식이 계속해서 변화하고 있다는 점에서 ROKRAT 클러스터의 활동이 추후에도 지속적으로 유포될 것으로 예상되며, 이를 대비하기 위한 감염 체인, 악성코드의 기능, 상세 공격 기법에 대해 습득하여 활용할 것을 권장합니다.


- 보다 구체적인 내용은 아래 링크를 통해 보고서 전문을 문의해 주세요.


🧑‍💻 보고서 작성자: S2W TALON (2024-11-13 기준)


👉 보고서 전문 문의하기: https://s2w.inc/contact


*해당 보고서는 별도 문의 가능하며 S2W의 플랫폼 구독 시 전문으로 제공됩니다.


위협 인텔리전스 보고서
금융 보안 보고서 4부: 북한, 중국, 러시아 배후 APT 그룹 16종
2024.11.25
이전 글
뉴스 하이라이트
11월 3주차 DDW 위클리 하이라이트
2024.11.28
다음 글
목록