ScarCruft(APT37 또는 Temp.Reaper)은 카스퍼스키가 2016년에 처음 보고한 국가 배후의 APT 공격 조직으로 탈북자, 북한 관련 뉴스를 취재하는 언론인 및 관련 정부 기관을 대상으로 공격을 수행하는 것으로 알려져있다. 최근 카스퍼스키는 보안사고 조사 중에 기술 지원을 요청한 언론사로부터 연락을 받았고 결과적으로 ScarCruft에 의해 손상된 호스트에 대해 더 깊은 조사를 수행하게 된 것으로 알려졌다. 조사 결과 피해자는 PowerShell 멀웨어에 감염되었고 공격자가 이미 피해자의 데이터를 탈취해 몇달 간 피해자를 감시했다는 증거를 발견했다. 공격자는 도난당한 로그인 자격 증명을 사용해 북한 관련 사업에 종사하는 피해자 동료들에게 스피어 피싱 메일을 보내려고 시도한 것으로 알려졌다.

이후 카스퍼스키는 손상된 시스템에서 발견된 사항을 기반으로 추가 멀웨어를 발견했는데, 공격자는 유사한 기능을 가진 세 가지 유형의 멀웨어(Powershell에서 구현된 버전, 윈도우 실행 파일 및 안드로이드 어플리케이션)를 활용한 것으로 알려졌다. 이들은 서로다른 플랫폼을 대상으로하지만 HTTP 통신을 기반으로 하는 유사한 명령 제어 체계를 공유한다. 따라서 이 공격자는 하나의 명령 제어 스크립트를 통해 전체 멀웨어를 제어할 수 있다.

카스퍼스키는 현지 CERT와 긴밀히 협력하여 ScarCruft의 명령 및 제어 인프라를 조사했으며 그 결과 작동 방식을 더 잘 이해했다고 언급했다. 특히 손상된 서버에서 수집한 로그 파일을 기반으로 2021년 초부터 ScarCruft가 노린 한국의 추가 피해자와 손상된 웹서버를 식별했다. 뿐만 아니라 HWP 문서를 통해 전달된 2020년 중반으로 거슬러 올라가는 멀웨어의 변종을 발견한 것으로 알려졌다.

[출처 : Securelist / 11.29.]