북한 APT 그룹 스카크루프트, 에어갭 네트워크 공격에 Zoho WorkDrive 백도어 및 USB 악성코드 활용

북한 APT 그룹 스카크루프트, 에어갭 네트워크에 새로운 악성코드 도구로 공격

Zscaler ThreatLabz의 보안 연구진들은 북한의 고급 지속 위협(APT) 그룹인 **스카크루프트(ScarCruft)**가 Zoho WorkDrive를 명령 및 제어(C2) 통신에 활용하고, USB 기반 악성코드를 통해 에어갭 네트워크(air-gapped network)를 침투하는 새로운 사이버 스파이 캠페인을 발견했다. 이 캠페인은 Ruby Jumper로 추적되며, 전통적인 보안 방어망을 우회하기 위한 그룹의 진화된 전술을 보여준다.

공격의 기술적 세부 사항

Ruby Jumper 캠페인은 두 가지 주요 악성코드 구성 요소를 사용한다:

1. Zoho WorkDrive 백도어

   • Zoho WorkDrive의 클라우드 스토리지 서비스를 악용하여 C2 통신을 수행하는 커스텀 백도어.
   • 악성코드는 손상된 WorkDrive 계정을 통해 추가 페이로드를 다운로드하고 데이터를 유출한다.
   • 이 기법은 악성 트래픽을 합법적인 클라우드 서비스 사용과 혼합하여 탐지를 회피할 수 있게 한다.

2. USB 기반 임플란트

   • 이동식 USB 드라이브를 통해 전파되는 보조 악성코드.
   • 에어갭 시스템에 삽입되면, 사전 정의된 명령을 실행하고 공격자가 제어하는 인프라로 데이터를 유출한다.
   • 이 방법은 직접적인 인터넷 접근이 제한된 환경에서 횡적 이동(lateral movement)과 데이터 유출을 가능하게 한다.

Zscaler의 분석에 따르면, 스카크루프트는 이전 공격 방법에 대한 감시가 강화됨에 따라 도구 세트를 지속적으로 개선하고 있는 것으로 보인다.

영향 및 귀속

**스카크루프트(ScarCruft)**는 APT37 또는 **리퍼(Reaper)**로도 알려진 북한 국가 지원 위협 그룹으로, 정부, 국방, 중요 인프라 부문을 대상으로 한 공격 이력이 있다. Zoho WorkDrive와 USB 악성코드의 사용은 네트워크 기반 방어망을 우회하기 위한 Living-off-the-Land(LotL) 기법 및 물리 매체 기반 공격으로의 전환을 시사한다.

이 캠페인이 에어갭 네트워크를 중점적으로 노린다는 점은 군사 시설이나 핵 시설과 같은 고보안 환경에서 잠재적인 스파이 활동과 데이터 유출 위험에 대한 우려를 높인다.

방어 권고 사항

보안 팀은 유사한 공격을 탐지하고 예방하기 위해 다음과 같은 조치를 취해야 한다:

• 클라우드 서비스 사용 모니터링: Zoho WorkDrive 및 기타 클라우드 스토리지 플랫폼에 대한 접근을 감사하고, 비정상적인 데이터 전송 패턴을 제한한다.
• USB 장치 제어: 승인된 장치만 화이트리스트로 등록하고 악성코드 페이로드를 스캔하는 등 이동식 미디어 사용에 대한 엄격한 정책을 시행한다.
• 네트워크 세분화: 에어갭 시스템을 덜 안전한 네트워크로부터 격리하여 횡적 이동을 제한한다.
• 엔드포인트 탐지 및 대응(EDR): 승인되지 않은 C2 통신과 같은 비정상적인 행동을 탐지하기 위해 고급 EDR 솔루션을 배포한다.
• 위협 인텔리전스 공유: 위협 인텔리전스 피드를 통해 **스카크루프트의 TTPs(전술, 기법, 절차)**에 대한 최신 정보를 유지한다.

Zscaler ThreatLabz는 특정 피해자 세부 정보를 공개하지 않았지만, 민감한 인프라를 대상으로 하는 북한 APT 위협에 대한 경각심을 높일 필요가 있음을 강조했다.

자세한 기술 분석은 Zscaler의 Ruby Jumper 캠페인에 관한 전체 보고서를 참고하라.