✅ 보고서 제목: ScarCruft의 새로운 언어 – PubNub 활용, Rust 기반 백도어, 그리고 랜섬웨어 공격
S2W 위협 인텔리전스센터 탈론에서 ScarCruft 그룹의 새로운 악성코드 캠페인에 대한 상세 분석 보고서를 공개합니다.
이번 보고서는 우편번호 현행화 고지서로 위장된 감염 체인과 Rust 기반 백도어 및 랜섬웨어 도입 등, ScarCruft의 전술적 진화에 대한 정밀 분석을 담고 있는 난이도 높은 위협 인텔리전스 보고서입니다.
✅ 보고서 요약:
- 최근 S2W의 위협 인텔리전스 센터(TALON)는 한국 사용자를 대상으로 한 새로운 악성코드 감염 체인을 식별하고 분석했습니다. 이 캠페인은 우편번호 현행화 고지서로 위장되었으며, S2W가 내부적으로 추적 중인 ScarCruft의 하위 그룹인 ChinopuNK의 활동으로 판단됩니다. ChinopuNK는 과거 Chinotto 악성코드 배포와도 관련된 그룹입니다.
- ScarCruft는 2016년 처음 식별된 북한 정보의 지원을 받는 APT 그룹으로, 탈북민, 북한 관련 언론인, 정부 기관 등을 주 타깃으로 활동해왔습니다. 초기에는 한국 내 활동에 집중했지만, 이후 일본, 베트남, 러시아, 네팔, 중동 국가들로 대상 범위를 확장해왔습니다.
- 이번 감염 체인은 RAR 아카이브에 임베드된 악성 LNK 파일을 통해 시작되며, 해당 LNK가 실행되면 AutoIt 기반 로더가 생성됩니다. 이후 이 로더는 외부 서버로부터 스틸러, 랜섬웨어, 백도어를 포함한 추가 페이로드를 가져와 실행합니다.
- 총 9개의 고유한 악성코드 샘플이 확인되었으며, 이 중 특히 주목할 만한 샘플은 NubSpy, LightPeek, TxPyLoader, FadeStealer, VCD Ransomware, CHILLYCHINO 등이 있습니다.
📌 왜 해당 캠페인에 주목해야 하나요?
이번 캠페인은 ScarCruft의 운영 역량이 눈에 띄게 발전했음을 보여줍니다. 특히 랜섬웨어 배포와 Rust 기반 백도어 도입은 이 그룹의 이전 활동에서는 거의 확인되지 않았던 사례입니다. 또한, NubSpy가 PubNub을 C2 채널로 사용하고 있는 점은 ScarCruft가 실시간 메시징 인프라에 지속적으로 의존하고 있음을 강조합니다. PubNub과 Ably를 포함한 이러한 서비스들이 최소 2017년부터 꾸준히 악용되어 왔다는 점은 이러한 주장의 신빙성을 더욱 높여줍니다.
본 보고서는 이 캠페인에서 사용된 신규 악성코드에 초점을 맞추며, 각 샘플의 기술적 분석을 통해 이를 ScarCruft에 귀속시키는 구체적인 증거를 제시합니다.
✅ 위협 탐지 권장 사항 및 조치 방안:
- 이러한 공격에 대응하기 위해 URL 및 파일 해시 등의 지표를 기반으로 침해 여부를 점검하고, 공격 그룹의 TTPs 행위 기반 탐지 룰을 포함한 탐지 정책을 주기적으로 업데이트할 것을 권장합니다.
- 또한 ScarCruft 그룹이 사용하는 인프라 및 프로그래밍 언어의 패턴, TTPs 관점의 특징을 통해 유사한 공격 캠페인을 지속적으로 추적할 필요가 있습니다.
보다 구체적인 분석은 내용은 아래 링크를 통해 보고서 전문을 확인해 주세요.
🧑💻 보고서 작성자: S2W TALON
👉 보고서 전문 보기: https://bit.ly/3J7p9rH
*해당 보고서는 별도 문의 가능하며, S2W의 플랫폼 구독 시 전문으로 제공됩니다.