Gamaredon으로 알려진 러시아 정부가 후원하는 사이버 스파이 그룹은 우크라이나에 대한 디지털 공격을 계속하고 있으며, 최근에는 메시징 앱인 텔레그램을 활용하여 우크라이나의 군대와 법 집행 기관을 공격했다.
더해커뉴스에 따르면, 블랙베리 연구 및 인텔리전스 팀은 보고서에서 "Gamaredon 그룹의 네트워크 인프라는 타깃에 대한 프로파일링 및 지리적 위치 확인을 위해 다단계 텔레그램 계정을 이용하고 최종 페이로드를 위해 피해자를 다음 단계 서버로 안내한다. 표적 시스템을 감염시키는 이런 종류의 기술은 새로운 것이다."라고 보도했다.
Actinium, Armageddon, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa 및 Winterflounder와 같은 이름으로도 알려진 Gamaredon은 2013년부터 우크라이나 독립체를 겨냥한 공격으로 유명하다.
지난 달, 팔로알토 네트웍스 유닛42는 위협 행위자가 러시아-우크라이나 전쟁 중에 나토 회원국 내의 익명의 석유 정제 회사에 침입하려는 실패한 시도를 공개했다.
위협 행위자가 탑재한 공격 체인은 민감한 정보를 수집할 수 있는 맬웨어를 전달하기 위해 우크라이나 정부 기관에서 생성된 합법적인 마이크로소프트 오피스 문서를 스피어 피싱 이메일의 미끼로 사용했다.
이러한 문서를 열면 원격 소스에서 악성 템플릿을 로드하여(원격 템플릿 주입 기술) 대상 시스템에 침입하고 감염을 전파하기 위해 매크로를 활성화해야 하는 필요성을 효과적으로 우회한다.
블랙베리 최신 조사 결과는 악성 코드를 호스팅하는 서버의 IP 주소를 가져오기 위해 하드 코딩된 텔레그램 채널을 사용하는 그룹 전략의 진화를 보여준다. IP 주소는 주기적으로 변경되어 탐지를 피한다.
이를 위해 원격 템플릿은 VBA 스크립트를 가져오도록 설계되었다. 이 스크립트는 VBScript 파일을 삭제한 다음 텔레그램 채널에 지정된 IP 주소에 연결하여 다음 단계인 PowerShell 스크립트를 가져오고, PHP 파일을 얻기 위한 다른 IP 주소를 얻는다.
이 PHP 파일은 최종 페이로드가 포함된 세 번째 IP 주소를 검색하기 위해 다른 텔레그램 채널에 접속하는 임무를 맡고 있다. 이는 이전에 2022년 9월 시스코 탈로스에 의해 공개된 정보 탈취 악성코드이다.
난독화된 VBA 스크립트는 대상의 IP 주소가 우크라이나에 있는 경우에만 전달된다는 점도 주목할 가치가 있다.
블랙베리는 "위협 그룹은 IP 주소를 동적으로 변경하기 때문에 샘플이 오래되면 샌드박스 기술을 통한 분석 자동화가 더욱 어려워진다. 의심스러운 IP 주소가 동유럽 근무 시간에만 변경된다는 사실은 위협 행위자가 한 위치에서 활동하며 우크라이나에 대해 악의적인 작전을 전개하는 공격적인 사이버 부대에 속할 가능성이 높다는 것을 강력하게 시사한다."고 지적했다.
우크라이나 컴퓨터 긴급 대응팀(CERT-UA)은 우크라이나 국영 뉴스 에이전시를 겨냥한 파괴적인 악성코드 공격이 러시아와 연결된 샌드웜 해킹 그룹의 소행이라고 밝혔다.
★정보보안 대표 미디어 데일리시큐!