카스퍼스키랩의 글로벌 위협 정보 분석팀에서 러시아어를 사용하는 ‘블랙에너지(BlackEnergy) APT’ 그룹이 전개하는 새로운 공격의 징후를 발견했다.
카스퍼스키랩의 전문가들이 발견한 스피어 피싱 문서에는 우크라이나 극우 민족주의자 정당인 ‘라이트 섹터(Right Sector)’가 언급돼 있었고 이 문서를 통해 우크라이나의 인기 TV 채널에 대한 공격을 이행한 것으로 보인다.
브랙에너지는 매우 활동적인 공격 단체이며 최근 우크라이나에서 발생한 공격을 미뤄 보아 파괴적인 행동과 산업 제어 시설 공격, 사이버 스파이 활동이 주된 목적이다. 처음에는 DDoS 공격 위주였던 블랙에너지 공격 도구는 대규모 도구의 집합체로 변모해 다양한 APT 유형의 공격에 사용됐고 2015년 말에 우크라이나의 몇몇 중요 기관에 연속적으로 발생한 공격과 같이 지정학적 공격에도 사용됐다.
블랙에너지 공격 그룹은 이미 수차례 탐지됐지만 블랙에너지는 그 활동을 멈추지 않고 있으며 커다란 위협이 되고 있다.
2015년 중반부터 블랙에너지 APT 그룹은 표적 네트워크의 컴퓨터를 감염시키는 매크로가 포함된 악성 엑셀 문서가 첨부된 스피어 피싱 이메일을 적극적으로 활용해 왔다. 그러나 올해 1월 카스퍼스키랩에서는 시스템에 블랙에너지 트로이목마를 감염시키는 새로운 악성 문서를 발견했다. 이전 공격에서는 엑셀 문서가 사용됐던 것과는 달리 이번에 발견된 문서는 MS 워드였다.
문서를 열면 매크로를 활성화해야 내용을 볼 수 있다는 메시지가 나타난다. 이 매크로를 활성화하면 블랙에너지 악성 코드 감염이 시작된다.
피해자의 컴퓨터에서 악성 코드가 활성화되면 공격자의 C&C 서버로 감염된 컴퓨터의 기본적인 정보가 전송된다. 악성 코드에서 전송된 C&C 연결 중 하나에서 피해자 ID를 언급하는 것으로 보이는 스트링이 포함돼 있다.
카스퍼스키랩의 연구진이 분석한 문서에는 ID ‘301018stb’가 발견됐다. 여기서 ‘stb’는 우크라이나 방송국 ‘STB’를 의미하는 것으로 추측된다. 이 방송국은 이미 2015년 10월에 블랙에너지 와이퍼 공격의 피해를 받은 바 있다.
감염된 후에는 다른 악성 모듈이 다운로드될 수 있다. 사용된 트로이목마의 버전에 따라 사이버 스파이 활동부터 데이터 삭제까지 다양한 기능이 구현된다.
블랙에너지 APT 그룹을 카스퍼스키랩이 주목한 것은 2014년으로 거슬러 올라간다. 당시 블랙에너지 APT 그룹은 전세계의 ICS 및 에너지 관련 시설 표적을 대상으로 SCADA 관련 플러그인을 배포하고 있었다. 따라서 카스퍼스키랩은 이 그룹이 ▲우크라이나 산업제어시스템(ICS), 에너지 및 미디어 회사 ▲전세계 산업제어시스템(ICS)/SCADA 회사 ▲전세계 에너지 회사 부문에 특화돼 있다는 결론을 내렸다.
카스퍼스키랩에서는 이미 블랙에너지 관련 DDoS 공격과 여기에서 파생된 파괴 기능, 지멘스장비의 취약점 악용 그리고 라우터 공격 플러그인에 대해 보고했다.
