러 해커, 정보 도용 멀웨어로 우크라이나 정부 공격
상태바
러 해커, 정보 도용 멀웨어로 우크라이나 정부 공격
  • 곽중희 기자
  • 승인 2022.09.16 09:50
  • 댓글 0
이 기사를 공유합니다

 

러시아 해커 집단 가마레돈(Gamaredon) APT가 맞춤형 정보 도용 멀웨어로 우크라이나 정부, 사법 기관을 공격하고 있다.

가마레돈이 사용하는 정보 도용 멀웨어는 파일을 추출하고 추가 페이로드를 배포하도록 설계됐으며, 러시아의 우크라이나 침공과 관련된 피싱 문서의 형태를 띄고 있다.

해커는 LNK 파일, PowerShell, VBScript를 통해 대상 시스템에 접근한 후 다음 단계에서 악성 페이로드를 배포한다.

시스코 탈로스(Cisco Talos) 연구팀은 “RAR 아카이브에 배포된 악성 LNK 파일을 통해 우크라이나 정부를 공격하는 해킹 활동을 발견했다. 최근 2022년 8월까지 관찰된 스파이 활동의 일부인 이 공격은 정보 도용 멀웨어를 우크라이나 정부 시스템에 전달하는 것을 목표로 하고 있으며, 감염 사슬의 일부로 여러 모듈식 PowerShell 및 VBScript(VBS) 스크립트를 많이 사용한다. Infostealer는 특정 파일 유형을 추출하고 감염된 엔드포인트에 추가 바이너리 및 스크립트 기반 페이로드를 배포하는 기능을 포함하는 이중 목적 멀웨어다”라고 설명했다.

해커는 악성 VBScript 매크로가 포함된 원격 템플릿 형태의 마이크로 오피스 문서를 사용하고 있다.

탈로스 연구팀은 “멀웨어는 연결된 모든 저장 장치를 검색해 앞서 doc, docx, xls, rtf, odt, txt, jpg, jpeg, pdf, ps1, rar, zip, 7z, mdb 등의 확장자를 가진 파일을 찾는다. 각각에 대해 멀웨어는 추출된 파일과 그 콘텐츠에 대한 메타데이터로 POST 요청을 한다”라고 분석했다.

 

*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.