✅ 보고서 제목:
윌로 캠페인(Willo Campaign)에서 관찰된 북한 배후 APT 그룹 TraderTraitor의 GopherGrabber 악성코드에 대한 상세 분석
S2W 위협 인텔리전스센터에서 북한 배후 APT 그룹 TraderTraitor와 연관된 윌로 캠페인(Willo Campaign)에 대한 분석 보고서를 발행했습니다. 해당 보고서는 기존에 찾아보기 어려운 GopherGrabber 악성코드와 관련된 난이도 높은 위협 인텔리전스 보고서입니다.
✅ 보고서 요약:
1) 공급망 공격
Willo Campaign과 연관성이 존재하는 악성 패키지는 2024년 6월, 공식 NPM 저장소를 통해 최초로 유포된 것으로 확인됩니다.
- cors-app: “cors-parser” 패키지를 임포트하는 로더
- cors-parser: 실제 악성 행위를 index.js 스크립트를 포함하고 있는 악성 패키지
2) 악성 설치 프로그램
2024년 7월, “Versus-X”라는 서비스의 설치 프로그램으로 위장한 인스톨러가 유포되었으며 최종 페이로드로 GopherGrabber가 사용됩니다.
S2W 위협 인텔리전스 센터에서는 Go 프로젝트 형태의 소스코드를 직접 실행하는 형태로 유포되어 멀티 플랫폼 환경에서 동작할 수 있고, C2 서버와 MD5 해싱 및 RC4로 암호화된 패킷을 이용해 HTTP/S 통신을 수행하는 백도어 기능과 및 스틸러 기능을 가지고 있는 악성코드를 GopherGrabber로 명명하여 추적을 진행했습니다.
3) 링크드인을 통한 스피어 피싱
2024년 12월 이후, LinkedIn 플랫폼에서 일자리 제안을 통해 화상 인터뷰 피싱 페이지로 접근을 유도하고 대상에게 악성 명령어 실행을 유도하여 GopherGrabber 악성코드를 유포하는 공격 캠페인이 발생하고 있으며 이를 Willo Campaign이라 명명하여 추적을 진행했습니다. 이때 공격 타겟은 IT 개발자, 영업 매니저 등 가상화폐 업계 종사자로 식별됩니다.
4) 공격자: 국가 배후 APT 그룹
악성코드 유포 방식 및 공격 목적 등에서 북한 배후 APT 그룹 TraderTraitor의 특징이 다수 발견되었으나, 확인된 인프라 중 SSL 인증서가 중국 APT 그룹 UNC5221의 악성코드 WARPWIRE의 인프라와 동일하게 사용된 점을 토대로 일부 연관성이 존재할 가능성이 있습니다.
5) 사건의 영향도
Willo Campaign으로 인한 가상화폐 탈취 사고가 보고되었으며, 현재까지 총 피해액은 약 $64,020로 추산됩니다.
📌 Willo Campaign이란 무엇인가요?
2024년 12월, 암호화폐 업계 종사자들을 겨냥한 대규모 피싱 캠페인이 발생했습니다. 공격자들은 악성코드를 유포하기 위해 정교한 사회공학 기법을 사용한 것으로 관찰되었습니다.
이들은 LinkedIn과 같은 구직 플랫폼을 통해 피해자들에게 일자리 제안을 하거나, Github 이슈 페이지를 통해 명령어 실행을 유도해 악성코드를 다운로드하게 만들었습니다.
또한 영상 인터뷰 플랫폼인 Willo를 사칭한 피싱 페이지를 제작하여 의심을 피했고, 구직 인터뷰와 관련된 질문에 피해자가 응답한 이후에야 악성코드를 배포하는 방식으로 공격을 진행했습니다.
📌 악성 설치 프로그램과 GopherGrabber 악성코드에 대한 구체적인 내용은 무엇인가요?
S2W 위협 분석팀은 "api.jz-aws[.]info" 도메인과 관련된 추가 위협 인텔리전스를 조사하던 중, 2024년 7월 12일에 컴파일된 또 다른 악성 설치 프로그램을 발견했습니다.
설치 파일의 정확한 유포 방식은 확인되지 않았지만, 해당 악성 설치 프로그램은 "VersusxSetup.exe"라는 파일명으로 유포되었으며, 설치 파일의 리소스 섹션에 포함된 아이콘은 Versus X 서비스의 아이콘과 일치하는 것으로 나타났습니다.
이 서비스의 공식 소셜 미디어 계정이 7월 11일에 비공개 베타 테스트를 발표한 점을 고려할 때, 이 악성코드는 Versus X 서비스에 관심 있는 사용자들을 표적으로 설계된 것으로 평가됩니다.
해당 악성 설치 프로그램이 실행되면, 감염된 기기에 Go 언어를 다운로드 및 설치한 뒤, 바이너리에 내장된 Go 소스코드를 드롭하고 이를 실행합니다. 이러한 감염 방식과 Go 기반 악성코드의 사용은 이후 Willo 캠페인에서도 관찰되었습니다.
실행된 Go 소스코드는 백도어 및 정보 탈취 기능을 가진 악성코드로 식별되었으며, S2W 위협 분석팀은 이 악성코드 계열을 GopherGrabber로 명명하고 그 활동을 지속적으로 추적하고 있습니다.
즉, GopherGrabber란, Go 언어로 작성된 프로젝트 소스코드를 압축한 형태로 유포되며, 브라우저 자격 증명 및 사용자 정보를 탈취하는 악성코드입니다. 이 악성코드는 MD5 해시와 RC4로 암호화된 패킷을 사용하여 C2 서버와 HTTP/S 통신을 수행하는 백도어로 작동합니다.
GopherGrabber에 대한 보다 상세한 내용은 퀘이사(QUAXAR) 솔루션을 통해 확인하실 수 있습니다.
✅ 위협 탐지 권장 사항 및 조치 방안:
4가지 기준으로 해당 보고서 내용을 정리하면 다음과 같습니다.
1) 위협 개요
Willo 캠페인은 암호화폐 산업 종사자를 대상으로 정교한 사회공학 기법을 활용한 피싱 캠페인을 의미합니다. 이 캠페인의 주요 특징은 Go 언어로 작성된 GopherGrabber 악성코드의 사용입니다.
2) 활동 내역
2024년 6월, 공식 NPM 패키지 저장소를 통한 악성코드 유포 사례가 확인되었으며, 2024년 7월에는 Versus X 서비스 설치 파일로 위장한 GopherGrabber 악성코드가 유포되었습니다. 이후, 2024년 12월부터 피싱 캠페인을 통한 대규모 공격 활동이 급증한 것으로 나타났습니다.
3) 특징
해당 캠페인에서 유포된 악성코드 샘플은 2024년 6월경부터 유통된 것으로 확인되었습니다.
S2W의 분석에 따르면, 이 악성코드는 BeaverTail 또는 InvisibleFerret 악성코드를 개발한 인물과는 다른 개발자에 의해 제작된 것으로 추정되며, 이에 따라 별도의 악성코드 클러스터로 분류되었습니다.
Willo 캠페인에 사용된 악성코드 샘플은 Windows와 macOS 등 여러 플랫폼에서 동작 가능하도록 설계된 것으로 보이며, 지속적인 감염을 위한 다양한 유지 메커니즘이 포함되어 있는 것이 특징입니다.
4) 공격자 프로파일링
이 보고서에서 다루는 위협 캠페인은 북한 APT 그룹인 TraderTraitor의 지원을 받고 있을 가능성이 높다는 평가를 받고 있습니다.
다만, 중국 APT 그룹 UNC5221과 연관된 WARPWIRE 악성코드의 네트워크 인프라와 일부 약한 연관성도 관찰되었습니다.
과거에 알려진 북한 APT의 공격 기법(TTPs) 및 목적과의 일치성을 바탕으로 중간 수준의 신뢰도로 북한의 소행일 가능성이 평가되고 있으며, 동시에 중국 APT 그룹과의 연결 가능성도 배제할 수 없습니다.
각 사례에 대한 구체적인 분석 및 조치 방안은 내용은 아래 링크를 통해 보고서 전문을 문의해 주세요.
🧑💻 보고서 작성자: S2W TALON (2025-03-09 기준)
👉 보고서 전문 문의하기:
https://s2w.inc/ko/contact
*해당 보고서는 별도 문의 가능하며, S2W의 플랫폼 구독 시 전문으로 제공됩니다.
