지니언스 시큐리티 센터에서 위협분석 보고서를 발간했습니다. 이 보고서는 최신 사이버 위협과 취약점을 조사하고, 신속한 대응과 예방을 위한 정보를 제공합니다. (전문보기 아래 링크)
리포트 주요 요약
- 대북분야 오피니언 리더, 한국인 겨냥 macOS 기반 스피어 피싱 공격 등장
- 제6회 보호책임(R2P)1 국제회의 진행자료처럼 위장해 접근 시도
- 애플사 macOS용 HWP 한글 문서 아이콘 위장해 APP 열람 유도
- 삼성 갤럭시 노트 도메인처럼 위장한 명령제어(C2) 서버 활용
- OSA(Open Scripting Architecture) 규격의 악성 AppleScript22 설치
- 지속성 유지를 위해 자동실행(LaunchAgents) 옵션 등록
- APT37 공격 배후와 동일한 C2와 유사한 정보탈취 기법 사용
- 공격자가 사용한 바로가기(LNK) 악성파일 제작도구 처음 발견
개요 (Overview)
1. macOS 기반 APT37 공격 활동 식별 (Threat Hunting)
○ 지난 5월 17일 지니언스 시큐리티 센터(이하 GSC)는 북한연계 해킹 그룹으로 알려진 APT37의 새로운 사이버 위협 활동을 발견했습니다. GSC는 APT(지능형지속위협) 그룹의 위협활동을 면밀히 추적 관찰하고 있습니다. 초기 정찰 단계부터 내부 침투, 민감 정보에 대한 무단 액세스 권한 탈취까지 각 캠페인에 대한 종합적인 분석과 위험도 평가, Genian EDR 대응 검증까지 병행하고 있습니다.
○ 본 건은 한국내 북한인권 및 대북분야에 종사 중인 특정인물을 겨냥해 두단계에 걸쳐 진행된 치밀한 APT 공격으로 검증됐으며, macOS 이용자를 겨냥한 흥미로운 위협 케이스로 그동안 외부에는 잘 알려지지 않은 채 수행되던 은밀한 작전으로 판단됩니다.
○ 우선 피해 대상자의 이메일 비밀번호 탈취를 위한 전형적인 1차 피싱 공격과 정찰활동을 수행한 후, 이 과정에서 확인된 웹 브라우저 및 운영체제 정보를 활용해 macOS 기반 악성파일 공격을 수행했습니다. 공격을 받은 대상자는 복수로 확인됐으며, 주로 맥북을 사용 중인 것으로 확인됩니다.
○ macOS 기반의 스피어 피싱 공격 사례는 윈도(Windows)에 비해 상대적으로 매우 드문 편이고, 애플 디스크 이미지(Apple Disk Image / DMG) 포맷이나 인스톨러 패키지(Installer Package / PKG) 유형을 첨부파일로 보낼 경우 이메일 수신자가 의심할 가능성이 높은 편이라 상대적으로 안전하다고 인식돼 왔습니다.
○ 그러나 한국에서 발견된 실제 사례를 통해 macOS 이용자들도 스피어 피싱 공격에 따른 위험 노출도가 상당히 높아짐에 주목할 필요가 있고, 이는 국내 APT 공격 동향에 시사하는 바가 크다 말할 수 있습니다. 참고로 이번 케이스는 분석된 사례 중 하나일 뿐이며, 아직 확인되지 않은 공격까지 더한다면 이보다 많을 것으로 예측됩니다.
○ 이러한 위협 변화는 보다 능동적이고 공세적인 대응방법을 필요로 합니다. Genian EDR3 macOS용 에이전트를 통해 조기에 이상행위를 탐지하고 빠르게 대응 정책을 수립할 수 있습니다. 이는 내부 네트워크로 신규 위협이 확산되기 전 차단하는데 매우 유용하고 효과적인 방안입니다.
2. 공격 전술 및 기법, 절차 (TTPs)
○ 과거 대표적인 사례의 macOS 기반 공격 전술은 비트코인 거래 서비스처럼 위장한 전용 솔루션이나 불법 소프트웨어 자료실로 유통된 광고성 또는 정보수집 스타일이 보고된 바 있습니다. 더불어 MS Word 문서에 악성 매크로를 삽입해 실행을 유도한 방식이 발견된 바 있습니다.
○ 본 사례의 경우 이메일 본문 내 macOS용 악성이 포함된 압축(ZIP) 파일 다운로드 링크를 연결해 클릭을 유도하는 전형적인 스피어 피싱 공격 전술이 사용됐습니다. macOS 기반 맞춤형 스피어 피싱 공격이 한국에서 발견된 건 매우 보기 드문 일입니다.
○ 위협 행위자는 MS 원드라이브(OneDrive) API로 설정한 다운로드 링크나 특정 스마트폰 서비스처럼 위장한 허위 도메인을 사용했고, 추적 및 분석 방해를 위해 선택적 링크 비활성화 및 침투 흔적을 제거하기 위한 분석 방해 전략을 구사했습니다.
○ ZIP 파일 내부에 정상 사진(.jpg) 파일 5개를 함께 동봉해 미끼로 사용했으며, (.dmg)나 (.pkg) 유형에 따로 패키지화 하지 않고, 바로 애플리케이션 파일(.app)로 유포한 전략을 구사했습니다. 더불어 리소스내 앱아이콘(AppIcon.icns) 설정을 통해 HWP 한글 문서처럼 보이게 구성하고, 내부 리소스에 포함한 정상 HWP 문서를 띄워 이용자를 현혹하는 교란 전술을 적용했습니다.
○ 주요 공격 메커니즘은 단계별로 진행이 됩니다. 침해 사고 조사와 분석을 회피하기 위한 절차로 명령제어(C2) 서버에서 핵심 악성 명령을 단계적으로 호출하고, 악성 애플스크립트 명령을 통해 컴퓨터 정보를 수집하는 사이버 정찰 활동을 수행합니다.
○ C2 서버의 수동적 명령에 따라 선택적 악성파일이 설치되도록 프로세스를 설계했으며, 이에 따라 최종 공격 전략을 파악하는데 다소 어려움이 존재합니다.
1. “보호책임(R2P : Responsibility to Protect)”은 국가가 집단학살, 전쟁범죄, 비인도적 범죄 등으로부터 자국민을 보호할 책임이 있음을 의미하며, 해당 국가의 정부가 막는데 실패할 경우 국제사회가 이를 보호할 공동책임이 있다는 원칙으로, 2005년 유엔 세계정상회의에서 채택된 이후 유엔을 중심으로 지속적으로 발전하는 개념입니다.
2. 애플스크립트
3 . Genian EDR Overview