○ 2025년 03월, APT37 그룹의 위협 행위자는 스피어 피싱(Spear Phishing) 공격으로 몇몇 대북분야 활동가에게 악성 이메일을 전달했습니다. 드롭박스(Dropbox)로 연결된 첨부파일 주소를 클릭하면, 바로가기(LNK)가 포함된 압축파일이 받아집니다. 만약, 압축해제 후 바로가기 파일을 실행되면 'toy' 키워드가 포함된 추가 악성코드가 작동됩니다.
○ 지니언스 시큐리티 센터(Genians Security Center / GSC)는 위협특징 기반으로 "작전명. 토이박스 스토리(Operation. ToyBox Story)"로 명명 후 분석을 진행했습니다.
[그림 1] APT37 공격 흐름도
○ 'APT37 그룹'은 북한과 연계된 국가 배후 해킹 조직으로 널리 알려져 있습니다. GSC는 이들 그룹이 다양한 공격 전략을 구사하고 있다는 점에 주목하고 있습니다.
○ 이들은 명령제어(C2) 서버로 합법적 클라우드 서비스를 악용하고 있습니다. 이른바 LoTS(Living off Trusted Sites)라고 말하기도 합니다. 시스템에 존재하는 합법적 도구를 악용하는 자급자족식 LotL(Living off the Land) 공격과 유사한데, 신뢰할 수 있는 정상 웹 사이트를 악용하는 것이 특징입니다. 주로 해외 서비스가 활용되는 편이고, 최근에는 드롭박스가 주로 쓰이는 것으로 관찰됩니다.
○ 더불어 'CVE-2022-41128' IE 취약점 등 다양한 Zero-Day 공격을 수행한 바 있습니다. Windows 기반 공격뿐만 아니라, Android 기반 악성앱(APK)이나 macOS 이용자를 노린 공격까지 그 범위가 다양화되어 있습니다.
○ GSC 위협 분석가는 2025년 03월에 발생한 최신 공격 시도를 발견하여, 심층적인 조사를 수행했습니다.
○ 본 보고서는 한국의 국가안보전략 싱크탱크 행사를 사칭한 실제 스피어 피싱 공격 사례를 통해 기업과 기관이 유사한 공격에 노출되지 않도록 미연에 대비하기 위한 인사이트 제공을 목적으로 합니다.
○ 2025년 03월 08일에 수행된 첫번째 스피어 피싱 공격 사례입니다.
[그림 2] 러시아에 파병된 북한군 내용의 이메일 화면
○ 본 사례는 한국에서 활동 중인 대북분야 전문가를 사칭해 수행된 공격입니다. 공격에 쓰인 이메일 제목은 '러시아 전장에 투입된 인민군 장병들에게.hwp' 입니다. 그리고 첨부파일명 역시 동일합니다.
○ 첨부파일 영역에는 한컴오피스 hwp 문서 아이콘이 보이도록 설정되어 있습니다. 이 아이콘은 '네이버 메일에서 사용하는 hwp 이미지'가 사용됐습니다.
○ 위협 행위자는 네이버의 아이콘 이미지를 사용해 첨부된 파일이 최대한 정상주소처럼 보이게 조작했습니다. 그러나 실제 파일이 링크된 경로는 드롭박스인 것을 확인할 수 있습니다.
○ 드롭박스 주소를 통해 다운로드된 파일은 '러시아 전장에 투입된 인민군 장병들에게.zip' 압축파일로 밝혀졌습니다.
○ 두번째 사례는 03월 11일 수행됐으며, 국가안보와 관련된 학술회의 개최 안내 내용처럼 사칭했습니다.
[그림 3] 국가안보 관련 학술회의 포스터 내용의 이메일 화면
○ 한국의 국가안보전략과 관련된 싱크탱크의 행사내용으로 수신자를 현혹하였습니다. 마치 행사용 포스터 사진을 공유하는 것처럼 위장해, 첨부파일 다운로드를 유도합니다.
○ 앞선 사례와 마찬가지로 본문에 표기된 첨부파일은 1개이고, '관련 포스터.zip' 이름의 압축파일이 보여집니다. 여기서도 '네이버 메일이 사용하는 기타 이미지' 아이콘이 사용됐습니다.
○ 그리고 첨부파일 연결 링크는 동일하게 드롭박스 주소가 사용됐습니다.
○ 각 사례에 사용된 악성파일을 요약하면 다음과 같습니다. '러시아 전장에 투입된 인민군 장병들에게.zip' 내부에는 하나의 바로가기(LNK) 파일이 포함돼 있습니다. 이 파일이 악성코드 기능을 수행하게 되며, zip 파일명과 이름은 동일하고 확장자만 다릅니다.
| No | ZIP Name | File Name | File Size (Bytes) |
| 1 | 러시아 전장에 투입된 인민군 장병들에게.zip | 러시아 전장에 투입된 인민군 장병들에게.lnk | 824,819 |
| 2 | 관련 포스터.zip | hkais_1e9ce53a18e24ebc01b539ba7ba6bedd.lnk | 12,145,612 |
| hkais_112ba70f4e2d696b6b0110218d8bcfc3.jpg | 116,271 |
[표 1] ZIP 압축과 내부 파일 정보
○ '관련 포스터.zip' 파일 내부에는 두개의 파일이 포함돼 있습니다. 하나는 정상적인 사진(JPG) 파일이고, 나머지 하나가 악성 바로가기(LNK) 유형의 파일입니다. LNK 파일이 실행될 경우 내부에 은닉된 PowerShell 명령이 수행되고, 악성행위가 본격적으로 진행됩니다.
○ 참고로, 각 LNK 파일에 의해 작동하는 최종 페이로드(Payload)는 동일한 RoKRAT이기 때문에, 분석은 하나의 내용으로 기술하겠습니다.
○ 바로가기(LNK) 파일의 속성을 보면 내부에 포함된 인자값(Arguments)을 통해 PowerShell 명령을 수행합니다. 전형적인 악성코드 작동흐름을 지니고 있습니다.
[그림 4] '러시아 전장에 투입된 인민군 장병들에게.lnk' 내부 명령어
○ 먼저 악성 LNK 파일이 실행되면, 내부 선언 명령에 의해 미끼용 HWP 파일로 교체되어 실행됩니다. 따라서, 화면에는 정상적인 문서 화면이 보여지게 됩니다.
○ 더불어 내부에 은닉된 3개의 파일을 임시폴더(%Temp%) 경로에 생성하고, 배치파일(BAT)을 실행하는 흐름을 가지고 있습니다. 특히 'bat' 확장자 문자열의 경우 위협 탐지를 회피하기 위해 알파벳을 하나씩 분리하고, (+) 기호를 통해 실행하는 형태로 구성돼 있습니다.
[그림 5] 악성 LNK 내부 구조도
○ 미끼용 파일로 사용된 정상 HWP 문서에는 실제로 러시아에 파병된 북한 군인들에 대한 편지 내용이 담겨져 있습니다.
[그림 6] 미끼용 파일로 사용된 정상 HWP 문서 모습
○ 'toy03.bat' 파일에 포함된 PowerShell 명령이 작동하게 되면, 임시 폴더에 생성된 'toy02.dat' 파일을 호출(Loader 역할)하게 됩니다.
○ 'toy02.dat' 파일에 포함된 PowerShell 명령이 작동하면, 임시 폴더에 생성된 'toy01.dat' 파일을 호출합니다. 이때, XOR 로직에 따라 변환된 데이터가 메모리에 할당되고 스레드를 생성합니다.
○ 결과적으로 shellcode를 메모리에 로드하고, 해당 메모리 영역을 실행 가능하도록 만듭니다.
○ 그리고 스레드를 생성하여 해당 메모리 코드를 실행합니다. 이는 동적 코드 실행 또는 런타임 악성코드 생성을 위한 Fileless 기술 입니다.
[그림 7] PowerShell 명령을 통한 Shellcode 변환
○ 메모리에 할당된 shellcode를 분석하여 좀더 상세한 기능을 파악할 수 있습니다. 스택 프레임 설정과 함수 호출, 값 설정을 수행하는 전형적인 shellcode 흐름을 가지고 있습니다.
[그림 8] shellcode XOR 로직을 통한 PE파일 변환
○ shellcode에 내장되어 있고, XOR 로직 연산을 거쳐 복호화된 PE파일은 메모리에 실행이 됩니다. 이 파일은 전형적인 RoKRAT 시리즈의 악성파일 입니다.
○ 전형적인 RoKRAT 시리즈는 메인 함수(WinMain)에서 주요 악성행위 기능을 수행하기 전에 감염된 단말의 시스템 정보를 수집하는 고유 특성을 가집니다.
[그림 9] RoKRAT 메인 함수 코드 영역
○ 메인 함수는 CreateThread 루틴을 실행하기 전에 'sub_40F0E7()'함수가 호출됩니다. 이 루틴에 의해 컴퓨터 정보 수집이 진행됩니다.
[그림 10] 컴퓨터 정보 수집 화면
○ 수집된 데이터는 'rokrat_4CFCC8' 위치에 기록되는데, 주요 항목은 다음과 같습니다.
[그림 11] 시스템 정보 수집 루틴
○ 'sub_40F0E7()'함수에는 감염 단말의 시스템 정보 수집과 별개로 C2로 사용되는 클라우드와 통신에 필요한 데이터를 생성합니다.
○ 이어서 시작 주소의 메인 스레드가 실행되고, 'sub_40F569()' 함수가 호출됩니다. 해당 함수는 Switch 구문을 통해 각 Case 별로 지정된 명령을 수행하게 됩니다.
○ 대표적인 명령으로 프로세스 종료 및 악성 스크립트 삭제(공격 흔적 제거), 이동식 드라이브에 대한 정보 저장이 있습니다. 더불어 C2 클라우드 통신과 'cmd.exe' 파일 명령 등 다양한 행위를 수행하게 됩니다. 특히, C2에서 받아온 파일 데이터를 'KB400928_doc.exe' 파일에 저장하여 실행하는 RoKRAT의 고유 특성을 가지고 있습니다.
[그림 12] Switch Case 조건문을 통한 명령
○ RoKRAT은 감염된 단말의 실시간 화면을 스크린샷하여, JPEG 형식으로 저장합니다.
[그림 13] 스크린샷 수집 화면
○ 스크린샷은 임시폴더(%Temp%) 경로에 'tmp' 확장자명으로 저장이 됩니다. 이때 파일명은 지정된 형식 조건("%s%04X%04X.tmp")에 따라 16진수 형태로 출력되고, 버퍼 변수에 랜덤한 문자열을 지정합니다. 따라서 파일명은 랜덤한 4자리가 반복된 8자리 16진수 값 형태로 저장됩니다.
○ 시스템 정보와 스크린샷, 프로세스 정보 등은 C2로 전송시 하나의 데이터 형태로 전송이 됩니다. 먼저 RoKRAT에 하드코딩된 4바이트 데이터가 추가됩니다.
[그림 14] 고정된 4바이트 값
○ 이렇게 저장된 정보는 '의사 난수 생성기(Pseudo-Random Number Generator, PRNG)'의 랜덤키 4바이트로 XOR 암호화가 수행됩니다. 그러나 위협 행위자는 고정된 4바이트 값을 알고 있으므로 역계산 복호화가 가능합니다.
[그림 15] 난수키를 통한 암호화 루틴
○ XOR 루틴으로 변환된 정보는 AES-CBC-128 로직을 통해 한번 더 암호화가 진행됩니다. 이때, 키 값은 RSA로 암호화된 후에 데이터 앞 부분에 추가됩니다.
[그림 16] AES-CBC-128 암호화 루틴 일부
○ 여러 단계를 거쳐 암호화된 파일은 공격자가 지정한 C2 서버로 유출이 시도됩니다. 유출되는 주소는 아래와 같습니다.
○ RoKRAT 시리즈는 보통 3개의 클라우드 API 서비스와 토큰(Token)을 사용하고 있습니다. 대표적으로 다음과 같습니다.
| Name | Action | API URL |
| pcloud | listfolder | https://api.pcloud[.]com/listfolder?path=%s |
| uploadfile | https://api.pcloud[.]com/uploadfile?path=%s&filename=%s&nopartial=1 | |
| getfilelink | https://api.pcloud[.]com/getfilelink?path=%s&forcedownload=1&skipfilename=1 | |
| deletefile | https://api.pcloud[.]com/deletefile?path=%s | |
| yandex | limit | https://cloud-api.yandex[.]net/v1/disk/resources?path=%s&limit=500 |
| upload | https://cloud-api.yandex[.]net/v1/disk/resources/upload?path=%s&overwrite=%s | |
| download | https://cloud-api.yandex[.]net/v1/disk/resources/download?path=%s | |
| permanently | https://cloud-api.yandex.net/v1/disk/resources?path=%s&permanently=%s | |
| dropbox | list_folder | https://api.dropboxapi[.]com/2/files/list_folder |
| upload | https://content.dropboxapi[.]com/2/files/upload | |
| download | https://content.dropboxapi[.]com/2/files/download | |
| delete | https://api.dropboxapi[.]com/2/files/delete |
[표 2] 클라우드 C2 API 통신 주소
○ 이번 공격 사례에서는 드롭박스(Dropbox) 인증을 통해 C2 통신이 수행됩니다. 자격증명에 사용하는 액세스 토큰은 2개가 관찰됩니다.
[그림 17] 드롭박스 액세스 토큰 화면
○ 각각의 액세스 토큰 값은 위와 같은 등록자 정보가 확인되며, 2개 모두 러시아 얀덱스(Yandex) 계정을 사용합니다.
○ 지니언스는 지난 02월 03일 「K 메신저로 유포된 'APT37' 그룹의 악성 HWP 사례 분석」 보고서 내용을 공개한 바 있습니다. 해당 사례는 한국에서 많이 쓰이는 인스턴트 메신저와 특정 단체 대화방을 통해 악성 HWP 문서가 유포됐던 유형입니다.
○ 당시에는 자동차 브랜드 및 교통수단 등이 악성 파일명으로 쓰였는데, 이번 '토이박스 스토리'에 쓰인 RoKRAT 파일과 내부 구조를 비교해 보면 코드 유사도가 높다는 것을 관찰할 수 있습니다.
[그림 18] RoKRAT 암호화 루틴 유사도 비교 분석
○ 구글 (맨디언트) FLARE 팀 오픈소스 도구인 'Capa'는 미리 정의된 약 890여개 이상의 내장 규칙이 포함되어 있고, 실행파일 내부 기능을 식별할 수 있습니다. 이 도구는 악성파일 정적분석 등에 활용할 수 있고, 지속적으로 기능 업데이트가 제공되고 있습니다. 더불어 유사 파일 분석에도 이용이 가능합니다.
○ 참고로 'Capa'는 바이트 시퀀스를 검색하는 'Yara'와는 달리, 특정 기능과 관련된 패턴 검색 결과를 출력합니다. 특히, 파일에 포함된 API 함수나, 레지스트리, 각종 문자열을 분석하여 기능을 파악하고, ATT&CK 매핑 내용 등을 제공합니다.
[그림 19] 'Capa' 정적분석을 통한 유사성 비교
○ 'Capa' 도구를 통해 RoKRAT 파일을 분석해 보면, ATT&CK Tactic, Technique 내용이 일치하고 있다는 것을 비교할 수 있습니다.
○ 더불어 'MBC'(Malware Behavior Catalog)로 명명된, 악성파일 행위 분류 체계는 정적분석을 통해 얻은 정보를 바탕으로 파일 행위의 매핑 결과를 보여줍니다. 물론, 실제 악성파일 실행 결과와는 차이가 있을 수 있습니다.
○ 'MBC Objective'와 'MBC Behavior' 결과도 동일한 흐름을 확인할 수 있습니다. 이처럼 RoKRAT 모듈은 지속적 악용이 되고 있지만, 코드적으로 큰 변화가 이뤄지는 편은 아닙니다.
○ APT37 위협 행위자는 RoKRAT 모듈을 파일리스(Fileless) 기반 공격에 사용하고 있어, 코드상 큰 변화를 주지 않아도 Anti-Virus 탐지회피에 효과가 있다고 추정할 수 있습니다. 따라서, EDR을 통한 탐지 및 대응이 보다 효과적인 결과를 도출할 수 있습니다.
○ GSC는 휴민트(HUMINT) 정보와 국내외 협력채널, 그리고 위협 인텔리전스(Threat Intelligence) 기반 정보를 통해 위협 행위자 데이터 확보를 수행했습니다.
○ 그중 악성파일 공격 명령에 활용된 일부 거점 인프라 조사과정에서 러시아 얀덱스(Yandex) 이메일 계정이 다수 식별됐습니다.
○ 한편, 2024년 11월 06일 'APT37 위협 배후의 사이버 정찰 활동 분석' 보고서를 통해 위협 행위자가 사용한 5개의 구글 지메일 계정이 공개된 바 있습니다.
○ 얀덱스 이메일에 사용된 아이디를 검색하면, 동일 이름의 링크드인 이용자가 일부 조회됩니다. 하지만, 단순 우연인지 또는 도용이나 사칭인지 여부는 아직 불명확하고 조사가 계속 진행 중입니다.
[그림 20] 러시아 이메일 아이디와 동일한 이름의 링크드인
○ 'APT37 그룹의 RoKRAT 파일리스 공격 증가' 보고서에서 소개한 내용 이후에도 유사한 위협이 지속 발생 중입니다. 특히, 바로가기(LNK)나 문서(HWP) 파일에 악성코드를 삽입하고 RoKRAT 파일리스(Fileless) 트리거 전략을 반복 구사하고 있습니다.
[그림 21] APT37 캠페인 연관 관계도
○ APT37 캠페인의 연관성을 살펴보면, 위협 행위자는 합법적인 클라우드 저장소를 명령제어(C2) 서버로 사용한다는 점입니다.
○ 위협 행위자는 인터넷 접속 위치를 숨기기 위해 'NordVPN', 'AstrillVPN' 등을 일부 활용했습니다. 'AstrillVPN'의 경우 구글 위협 인텔리전스 보고서 'Staying a Step Ahead: Mitigating the DPRK IT Worker Threat'를 통해 알려진 바 있습니다.
○ 러시아에 파병된 북한군 내용과 한국의 국가안보전략 싱크탱크의 학술회의 안내정보로 위장해 수행된 최근 APT37 공격 사례를 살펴봤습니다.
○ 위협 행위자들은 합법적인 클라우드 서비스에 가입해 공격지령 수단으로 악용하고 있습니다. 또한, 단말에 설치된 백신 프로그램(Anti-Virus) 탐지회피를 극대화하기 위해 바로가기(LNK) 파일을 지속적으로 변경하고, 파일리스 공격에 집중하고 있습니다.
○ 만약 패턴기반 보안제품이 초기 유입 탐지를 실패할 경우, 예기치 못한 피해로 이어질 수 있습니다. 따라서, 이메일에 첨부된 압축파일 다운로드 후, 압축 내부에 존재하는 파일이 바로가기(LNK) 타입이라면, 절대 접근하지 말아야 합니다.
○ 하지만, 지식기반 보안규칙이 모든 직원에게 적용되기란 현실적으로 어렵습니다. 따라서, 기업이나 기관의 보안 관리자는 각 단말에서 발생하는 행위 이벤트를 관찰하고, 적절한 위협을 헌팅하여 대응할 수 있는 체계를 마련해야 합니다. Genian EDR 제품은 이러한 최신 공격을 즉각 탐지하고, 내부에 유입되는 위협을 방어할 수 있습니다.
[그림 22] Genian EDR 이벤트 조사를 통한 위협 유입 파악
○ 이번 보고서에 기술된 실제 LNK 악성파일과 동일 공격 시나리오 기반으로 상황을 재구성해 보겠습니다. Genian EDR 에이전트가 설치된 단말 이용자가 이메일에서 첨부파일을 받아 압축을 해제합니다. ZIP 압축 내부에 LNK 파일을 즉시 위협으로 탐지합니다.
○ 단순히, 위협 요소만 식별한 것이 아니라 어떤 과정을 통해 악성파일이 유입되었는지 EDR 관리자는 빠르게 인지할 수 있습니다. 이를 통해 추가조사 및 유사한 위협의 재발방지와 사내 보안 강화를 위한 예방활동을 수립할 수 있습니다.
[그림 23] PowerShell 커맨드 라인 화면
○ Genian EDR의 차별화된 공격 스토리 라인 정보는 위협이 유입된 단말의 부모 자식간 프로세스 상관관계를 가시성 높게 제공합니다.
○ 특히, 공격 중간에 호출되는 'cmd.exe', 'powershell.exe' 파일의 명령 인자 값을 상세히 조회할 수 있기 때문에 위협 분석가에게 많은 도움이 됩니다.
○ 더불어 위협요소의 실행 흐름 뿐만 아니라, 분석이 필요한 단말에 따라 개별 '이벤트 조사'와 'LIVE 검색'을 통해 능동적 위협 헌팅(Threat Hunting)이 가능합니다.
[그림 24] C2 클라우드 통신을 탐지한 Genian EDR 화면
○ 기업 및 기관의 보안 관리자는 EDR 기록을 통해 특정 단말에 어떠한 이상행위가 발생됐는지 효율적으로 유지 관리할 수 있습니다.
○ 특히, 합법적으로 사용되는 클라우드 저장소는 단순 접속만으로 위협 여부를 쉽게 판단하기 어렵습니다. 그러나 Genian EDR은 여러 위협 케이스 분석 노하우와 자체 이상행위 탐지 규칙인 XBA 기술을 통해 악성코드의 API 클라우드 통신도 탐지가 가능합니다.
○ 이뿐만 아니라, 'MITRE ATT&CK' 정보도 함께 제공하여, 보다 세분화된 위협 관리가 가능해 집니다.
81c08366ea7fc0f933f368b120104384
723f80d1843315717bc56e9e58e89be5
7822e53536c1cf86c3e44e31e77bd088
324688238c42d7190a2b50303cbc6a3c
a635bd019674b25038cd8f02e15eebd2
beeaca6a34fb05e73a6d8b7d2b8c2ee3
d5d48f044ff16ef6a4d5bde060ed5cee
d77c8449f1efc4bfb9ebff496442bbbc
2f431c4e65af9908d2182c6a093bf262
7cc8ce5374ff9eacd38491b75cbedf89
8f339a09f0d0202cfaffbd38469490ec
46ca088d5c052738d42bbd6231cc0ed5
89.147.101[.]65
89.147.101[.]71
37.120.210[.]2
rolf.gehrung@yandex.com
ekta.sahasi@yandex.com
gursimran.bindra@yandex.com
sneha.geethakrishnan@yandex.com
tanessha.samuel@gmail.com
tianling0315@gmail.com
w.sarah0808@gmail.com
softpower21cs@gmail.com
sandozmessi@gmail.com
tiger.man.1999@mail.ru
navermail_noreply@mail.ru