이셋코리아가 가마레돈(Gamaredon)그룹이 최신 악의적 활동에서 사용하는 새로운 도구를 발견했다고 23일 밝혔다.
이셋에 따르면 첫 번째 도구는 사용자 지정 MS 어웃룩(Microsoft Outlook) VBA(Visual Basic for Applications) 프로젝트를 사용해 MS 아웃룩을 대상으로 하며 공격자는 피해자의 이메일 계정을 사용해 주소록의 연락처로 스피어 피싱 메일을 보낼 수 있다.
맬웨어를 전달하기 위해 아웃룩 매크로를 사용하는 것은 연구원에게 거의 보이지 않는다.
두 번째 도구는 악명 높은 APT 그룹에서 원격 템플릿에 대한 매크로 및 참조를 오피스 문서(Word 및 Excel)에 삽입하는 데 사용된다. 둘 다 가마레돈그룹이 이미 손상된 네트워크에 서 더 확산될 수 있도록 설계됐다.
이셋 위협 연구 책임자 장 이안 부틴(Jean-Ian Boutin)은 “지난 몇 달 동안 이 그룹의 활동이 증가하면서 악성 메일이 대상의 사서함에 지속적으로 노출되고 있다. 이러한 메일에 첨부된 파일은 악성 매크로가 포함된 문서이며 실행시 다양한 유형의 맬웨어 다운로드를 시도한다”고 설명했다.
최신 도구는 공격 대상 시스템의 기존 문서에 악성 매크로나 원격 템플릿에 대한 참조를 삽입한다. 이는 문서가 동료들과 일상적으로 공유되므로 조직의 네트워크 내에서 매우 효율적인 이동 방법이다. 또 오피스 매크로 보안 설정을 변경하는 특수 기능 덕분에 영향을 받는 사용자는 문서를 열 때마다 워크스테이션이 다시 손상될 것이라는 것을 알 수 없다.
이 그룹은 백도어 및 파일 스틸러를 사용해 손상된 시스템에서 C&C 서버에 업로드할 중요 문서를 식별하고 수집한다. 또 이러한 파일 스틸러는 C&C 서버에서 임의 코드를 실행할 수도 있다.
이셋은 가마레돈과 다른 APT 그룹 사이에는 한 가지 큰 차이점이 있다며 공격자는 레이더에 탐지되지 않기 위한 노력을 거의 하지 않는다고 설명했다 .
또 이 그룹의 도구는 보다 은밀한 기술을 사용할 수 있는 능력이 있지만 데이터를 유출시키면서 대상 네트워크에 최대한 멀리 빠르게 확산시키는 것이 이 그룹의 주요 목표인 것으로 보인디고 전했다.
불틴은 이셋의 발견에 대해 “손상된 사서함을 악용해 피해자의 동의없이 악성 메일을 보내는 것이 새로운 기술은 아니지만 OTM 파일과 아웃룩 매크로를 사용해 이를 달성한 공격 그룹을 최초로 문서화 한 사례라고 생각한다”며 “가마레돈그룹이 캠페인 기간 내내 사용한 다양한 악성 스크립트, 실행 파일 및 문서 샘플을 수집할 수 있었다”고 설명했다.
가마레돈그룹은 2013년부터 활동해 왔다. 그들은 주로 우크라이나 기관에 대한 공격을 여러 차례 담당해 왔다. 이번 조사에서 논의된 도구는 이셋 제품에서 MSIL/Pterodo, Win32/Pterodo 또는 Win64/Pterodo의 변종으로 탐지된다. [파이낸셜신문=이광재 기자 ]