이셋 "가마레돈그룹이 MS 아웃룩·오피스 타깃한 맬웨어 발견"
이셋 "가마레돈그룹이 MS 아웃룩·오피스 타깃한 맬웨어 발견"
  • 이광재 기자
  • 승인 2020.06.23 10:49
  • 댓글 0
이 기사를 공유합니다

이셋코리아가 가마레돈(Gamaredon)그룹이 최신 악의적 활동에서 사용하는 새로운 도구를 발견했다고 23일 밝혔다.

이셋에 따르면 첫 번째 도구는 사용자 지정 MS 어웃룩(Microsoft Outlook) VBA(Visual Basic for Applications) 프로젝트를 사용해 MS 아웃룩을 대상으로 하며 공격자는 피해자의 이메일 계정을 사용해 주소록의 연락처로 스피어 피싱 메일을 보낼 수 있다.

맬웨어를 전달하기 위해 아웃룩 매크로를 사용하는 것은 연구원에게 거의 보이지 않는다.

(제공=이셋코리아)
(제공=이셋코리아)

두 번째 도구는 악명 높은 APT 그룹에서 원격 템플릿에 대한 매크로 및 참조를 오피스 문서(Word 및 Excel)에 삽입하는 데 사용된다. 둘 다 가마레돈그룹이 이미 손상된 네트워크에 서 더 확산될 수 있도록 설계됐다.

이셋 위협 연구 책임자 장 이안 부틴(Jean-Ian Boutin)은 “지난 몇 달 동안 이 그룹의 활동이 증가하면서 악성 메일이 대상의 사서함에 지속적으로 노출되고 있다. 이러한 메일에 첨부된 파일은 악성 매크로가 포함된 문서이며 실행시 다양한 유형의 맬웨어 다운로드를 시도한다”고 설명했다.

최신 도구는 공격 대상 시스템의 기존 문서에 악성 매크로나 원격 템플릿에 대한 참조를 삽입한다. 이는 문서가 동료들과 일상적으로 공유되므로 조직의 네트워크 내에서 매우 효율적인 이동 방법이다. 또 오피스 매크로 보안 설정을 변경하는 특수 기능 덕분에 영향을 받는 사용자는 문서를 열 때마다 워크스테이션이 다시 손상될 것이라는 것을 알 수 없다.

이 그룹은 백도어 및 파일 스틸러를 사용해 손상된 시스템에서 C&C 서버에 업로드할 중요 문서를 식별하고 수집한다. 또 이러한 파일 스틸러는 C&C 서버에서 임의 코드를 실행할 수도 있다.

가마레돈 캠페인의 일반적인 감염체인 (제공=이셋코리아)
가마레돈 캠페인의 일반적인 감염체인 (제공=이셋코리아)

이셋은 가마레돈과 다른 APT 그룹 사이에는 한 가지 큰 차이점이 있다며 공격자는 레이더에 탐지되지 않기 위한 노력을 거의 하지 않는다고 설명했다 .

또 이 그룹의 도구는 보다 은밀한 기술을 사용할 수 있는 능력이 있지만 데이터를 유출시키면서 대상 네트워크에 최대한 멀리 빠르게 확산시키는 것이 이 그룹의 주요 목표인 것으로 보인디고 전했다.

불틴은 이셋의 발견에 대해 “손상된 사서함을 악용해 피해자의 동의없이 악성 메일을 보내는 것이 새로운 기술은 아니지만 OTM 파일과 아웃룩 매크로를 사용해 이를 달성한 공격 그룹을 최초로 문서화 한 사례라고 생각한다”며 “가마레돈그룹이 캠페인 기간 내내 사용한 다양한 악성 스크립트, 실행 파일 및 문서 샘플을 수집할 수 있었다”고 설명했다.

가마레돈그룹은 2013년부터 활동해 왔다. 그들은 주로 우크라이나 기관에 대한 공격을 여러 차례 담당해 왔다. 이번 조사에서 논의된 도구는 이셋 제품에서 MSIL/Pterodo, Win32/Pterodo 또는 Win64/Pterodo의 변종으로 탐지된다. [파이낸셜신문=이광재 기자 ]


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.

  • 서울특별시 마포구 합정동 386-12 금성빌딩 2층
  • 대표전화 : 02-333-0807
  • 팩스 : 02-333-0817
  • 법인명 : (주)파이낸셜신문
  • 제호 : 파이낸셜신문
  • 주간신문   
  • 등록번호 : 서울 다 08228호
  • 등록일자 : 2009-04-10
  • 간별 : 주간  
  • /  인터넷신문
  •   등록번호 : 서울 아 00825
  • 등록일자 : 2009-03-25
  • 간별 : 인터넷신문
  • 발행 · 편집인 : 박광원
  • 편집국장 : 임권택
  • 전략기획마케팅 국장 : 심용섭
  • 청소년보호책임자 : 임권택
  • Email : news@efnews.co.kr
  • 편집위원 : 신성대
  • 파이낸셜신문 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받은바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2021 파이낸셜신문. All rights reserved.
인터넷신문위원회 ND소프트