합법적 클라우드·파일리스 악성코드로 탐지 회피 시도
“이미지 안에 숨어든 악성코드, 탐지조차 어려웠다”
최근 지니언스 시큐리티센터는 북한 해킹 조직 APT37이 스테가노그래피 기법을 통해 악성코드를 유포한 정황을 포착했습니다.
이번 공격은 탐지를 우회하려는 파일리스 기법과 합법적 클라우드 서비스 악용까지 동원된 고도화된 위협 사례입니다.
📦 공격 개요: ‘국가정보와 방첩원고.zip’ 파일로 시작
- 공격 도구: 바로가기(.lnk) 파일
- 파일 크기: 약 54MB (비정상적으로 큼)
- 포함 요소:
- 정상 문서 (미끼용)
- RoKRAT 셸코드
- PowerShell 명령어
- 배치(Batch) 명령어
🧬 공격 흐름 분석
- 사용자가 .lnk 파일 실행
- 내부 PowerShell 명령어 작동 → RoKRAT 변종 활성화
- 사용자 PC 정보, 문서, 스크린샷 등 수집
- 러시아 이메일로 개설된 Dropbox 계정으로 정보 전송
🖼️ 이미지에 악성코드를 숨긴 스테가노그래피
- Father.jpg라는 정상 이미지로 위장
- 실제론 이미지 내부에 RoKRAT 악성 코드 삽입
- 메모리에 로드되어 파일 없는 실행 (파일리스) 형태로 작동
- HWP 문서 내부 OLE 개체 및 하이퍼링크로 유도
🧨 탐지 회피 전략 요약
위협 요소내용
| 📁 파일리스 공격 | 실행 파일이 아닌 메모리 기반 실행, 탐지 어려움 |
| 🖼️ 스테가노그래피 | 이미지 파일 내부에 악성코드 삽입, 정밀 분석 필요 |
| ☁️ 클라우드 악용 | Dropbox 등 합법 서비스로 C2 통신 위장 |
| 📄 HWP OLE 삽입 | 문서 내부에서 직접 ShellRunas.exe 실행 유도 |
🛡️ 대응 방안: EDR 중심의 정밀 탐지 필요
- 시그니처 기반 보안 제품 → 탐지 불가
- **EDR(Endpoint Detection & Response)**을 활용한 이상 행위 분석 필요
지니언스에 따르면, 지니안 EDR은 다음과 같은 이점을 제공합니다:
- 악성 행위 기반 분석 → 탐지 시간 단축
- MITRE ATT&CK 태그 자동 부착 → 위협 식별에 도움
- 합법 서비스 통한 C2 통신 패턴 시각화 지원
💬 보안 전문가 인사이트
“스테가노그래피와 파일리스 공격은 단일 탐지 기술로는 대응 불가합니다.
다계층 보안체계와 이상 행위 기반 분석(Behavior-based EDR)이 필수입니다.”
📌 정리: 이번 공격이 시사하는 것
- 북한 APT 조직의 공격 고도화 지속
- 이미지·문서 활용 사회공학 기법 결합
- 정적 탐지 한계를 뛰어넘는 행위 기반 보안 체계 강화 필요
🔐 보안 담당자가 해야 할 일
- .lnk 파일의 비정상적 크기 확인
- Dropbox, Google Drive 등 C2 가능 서비스 접근 모니터링
- EDR 솔루션으로 메모리 행위 추적 설정
- HWP, JPG 등의 비정상 파일 열람 기록 점검
'보안(News)' 카테고리의 다른 글
| 대한민국 정부부처·통신사, 北 추정 해커에 대규모 해킹 피해…국가안보 ‘비상’ (0) | 2025.09.12 |
|---|---|
| [긴급 분석] SGI서울보증, 13.2TB 데이터 다크웹 유출…2차 피해 현실화 (0) | 2025.09.12 |
| [긴급] 리눅스 서버 ‘비상’…탐지 불가능 악성코드 ‘플래그(Plague)’ 기승 (0) | 2025.09.12 |
| 펑크섹 랜섬웨어, 복호화 도구로 무력화…그러나 위협은 끝나지 않았다 (0) | 2025.09.12 |
| SGI서울보증 랜섬웨어 공격…침투 경로는 SSL-VPN, 로그인 제한도 없었다 (0) | 2025.09.12 |
