LNK 속성 (출처: ASEC)

LNK를 통해 실행되는 파워쉘 명령어 

Cloud Storage를 활용하는 APT 공격

최근 북한 해커 조직 APT43 그룹이 다단계 공격 체인을 활용해 시그니처 기반 Anti-Virus 탐지 기술 회피에 집중한 것으로 드러났다. 클라우드 저장소를 공격 거점으로 활용했으며, 위협 모니터링 범위에서 탈피하기 위한 전술 노력도 시도한 정황이 포착됐다. 특히 ‘바로가기(LNK)’ 타입의 공격이 지속돼 각별한 주의가 요구된다. 

전형적인 스피어 피싱 기반의 APT 공격으로 실제 정부기관이 사용 중인 보안 메일 내역처럼 위장한 것이 특징이다. 

초기 접근은 정상 이메일로 시작, 반응형 스피어 피싱 전략 구사하며 합법적인 클라우드 저장소의 다단계 공격 체인과 RAT 공격 활용 APT43 그룹의 BabyShark 위협 캠페인 연장선으로 확인이 된다. 

동작 구조  

Cloud Storage를 활용하는 APT 공격 동작 

1. 유포 파일(바로가기 파일(*.LNK))

 • LNK 파일에는 파워쉘 명령어가 존재하며 ms_temp_08.ps1 파일명으로 저장 후 실행

 • 생성된 ms_temp_08.ps1 는 디코이 문서 파일과 추가 악성 파일 다운로드및 작업 스케쥴러 등록 행위를 수행

 • ms_update.ps1 파일은 클라우드 저장소에서 SoJ****-X.txt 파일을 다운로드 한 후 info.ps1 명으로 저장 후 실행

2. 클라우드를 통해 다운로드 된 악성코드

 • 파워쉘 명령어로 사용자 PC 정보를 수집하여 공격자 클라우드에 업로드

 • info.ps1(SoJ****-X.txt) 파워쉘 명령어로 특정 파일을 공격자 클라우드에 업로드하고, 추가 악성코드를 다운로드 및 실행

 • system-xn.dat 악성코드는 XenoRAT으로 공격자의 명령어를 수행(C2 : 159.100.29[.]122:8811) 

결론 

2024년 1분기까지 바로가기(LNK) 유형의 APT 공격은 계속 이어지고 있다. 한국을 공격 대상으로 활동하는 주요 위협 행위자들은 초기 침투단계시 단말에 설치된 Anti-Virus 탐지 회피 효과를 극대화하기 위해 이 방식을 전략적으로 사용 중이다. 특히, 합법적으로 서비스 중인 글로벌 클라우드 저장소를 일종의 위협거점 인프라로 지속 활용 중이다. 그러므로 개인 이용자를 포함해 기업 및 기관의 보안관리자는 주요 클라우드 저장소의 통신 이력도 세심히 살펴볼 필요가 있다. 주로 PowerShell 스크립트와 클라우드 서비스가 제공하는 정상 API 기능을 활용해 Fileless 기반 공격을 수행하기 때문이다. 특히, 암호화된 코드와통신으로 인해 이상행위 탐지와 식별이 쉽지 않다. 한편 구글드라이브, 드롭박스, 원드라이브 등은 APT 공격에 악용된 서비스 계정 차단과 후속조치를 위해서는많은보안 전문가들의 지원과 협력이 중요하다.

Cloud storage APT 공격에 대한 보안 권장 사항 

 • 스피어 피싱으로 메일 공격이 들어오기 때문에 의심스러운 메일은 신고 및 차단을 해주는 것이 중요하다.

 • C2 서버와 통신을 차단하기 위해 동작 과정에서 설명한 IP 차단을 진행해야 한다.(C2 IP : 159.100.29[.]122:8811)

 • 각 기관에서는 클라우드 저장소에 대한 정책을 검토 및 계정의 비밀번호 관리 정책을 검토해야 한다.

 • Anti-Virus 제품의 업데이트를 최신화 해야 한다.