Home > 전체기사
러시아의 유명 APT 단체 가마레돈, 우크라이나 노리며 공격 재개
  |  입력 : 2019-12-09 10:43
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
2013년부터 활동한 것으로 보이는 단체...꾸준하게 우크라이나 노려
‘시작 프로그램’ 폴더에 페이로드 심지만, 명확한 악성 행위는 탐지되지 않아


[보안뉴스 문가용 기자] 러시아 정부의 지원을 받는 해킹 단체인 가마레돈(Gamaredon)이 우크라이나의 외교, 정부, 군, 사법 기관들을 2019년 10월 중순부터 공격해왔다고 보안 업체 아노말리(Anomali)가 발표했다.

[이미지 = iclickart]


가마레돈은 최소 2013년 중반부부터 활동해온 단체로 프리미티브 베어(Primitive Bear)라고도 불리며, 이들에 대한 상세 보고서가 나온 건 2015년 4월이 처음이다. 처음 발견된 때부터 지금까지 우크라이나 정부와 관련이 있는 개인이나 조직만을 노려왔다.

지난 10월 중순에도 가마레돈 해커들은 우크라이나의 다양한 인사들과 조직들을 공격했다. 외교관, 정부 요원, 공무원, 기자, 사법 기관 요원, 군 관계자 및 요원, NGO 단체, 우크라이나 외무부가 당했다. 이 기관 혹은 인물들에게는 피싱 공격용 문서가 날아들었다. 이 문건을 분석했을 때 공격이 시작된 건 9월 경으로 나타났고 11월 25일까지 지속된 것으로 보인다.

악성 문건은 크게 세 가지로 나뉜다고 한다.
1) 드니프로 컨트롤 시스템(Dnipro Control System)으로 발송된, 군 관련 문서.
2) 디텍터 미디어(Detector Media)라는 NGO 단체가 보낸 것처럼 위장된 문서.
3) 우크라이나 외무부를 겨냥한 스피어피싱 문서.

이 문서들 중 초반에 발견된 것들은 피해자의 컴퓨터에서 실행될 때 원격 서버로 연결이 되면서 문서 템플릿을 다운로드 받는다. 이 템플릿은 악성 VBA 매크로를 포함하고 있는 것으로, 배경에서 실행되며 VB스크립트 파일을 ‘시작 프로그램’ 폴더에 생성한다. 시스템이 리부트 되면 이 스크립트가 HTTP GET 요청을 실행해 한 동적 DNS 도메인으로부터 암호화 된 페이로드를 가져온다.

이 페이로드 역시 ‘시작 프로그램’ 폴더에 저장된다. 그렇기 때문에 시스템 리부트 상황에서도 페이로드가 계속해서 실행된다. 하지만 아직까지 이 두 번째 페이로드가 하는 일이 아직까지 명확히 밝혀지지 않고 있다고 한다.

“현재까지 밝혀진 바 이번 캠페인의 표적이나 전략 등 여러 가지 모습들이 러시아의 해킹 그룹인 가마레돈의 그것과 상당히 겹칩니다. 지난 수년 동안 가마레돈에 대한 연구와 조사는 수없이 이뤄졌고, 따라서 보안 업계는 그들에 대해 잘 안다고 할 수 있습니다. 이번 캠페인은 보안 업계가 잘 알고 있는 가마레돈의 전형적인 모습을 그대로 가지고 있으며, 따라서 러시아가 배후에 있다고 거의 확신할 수 있습니다.”

하지만 100% 확신에 이르지는 못한다. “가마레돈에 대해 잘 알고 있다는 건, 공격자들이 가마레돈을 잘 흉내 낼 수도 있다는 뜻입니다. 요즘 APT 단체들은 추적을 따돌리고 분석되는 걸 피하기 위해 다른 나라 APT 그룹의 방식을 활용하는 경우가 많거든요. 이번 가마레돈의 캠페인도 그런 가능성을 가지고 있긴 합니다.”

3줄 요약
1. 러시아의 APT 단체인 가마레돈, 다시 한 번 우크라이나 노리기 시작.
2. 우크라이나 정부, 외교, 군 관련 기관을 노리며 다단계로 시스템 감염시킴.
3. 물론 가마레돈을 똑같이 흉내 낸 다른 공격 단체일 가능성도 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)