ESET(이셋), Gamaredon 그룹이 Microsoft Outlook 및 Office를 타켓으로 하는 맬웨어 발견

 

사이버 보안의 글로벌 리더인 ESET(이셋)의 국내 법인 이셋코리아(www.estc.co.kr)는 Gamaredon 그룹이 최신 악의적 활동에서 사용하는 새로운 도구를 발견했다고 밝혔습니다.

 

첫 번째 도구는 사용자 지정 Microsoft Outlook VBA(Visual Basic for Applications) 프로젝트를 사용하여 Microsoft Outlook을 대상으로 하며 공격자는 피해자의 이메일 계정을 사용하여 주소록의 연락처로 스피어 피싱 메일을 보낼 수 있습니다. 맬웨어를 전달하기 위해 Outlook 매크로를 사용하는 것은 연구원에게 거의 보이지 않습니다. 두 번째 도구는 악명 높은 APT 그룹에서 원격 템플릿에 대한 매크로 및 참조를 Office 문서(Word 및 Excel)에 삽입하는 데 사용됩니다. 둘 다 Gamaredon 그룹이 이미 손상된 네트워크에서 더 확산될 수 있도록 설계되었습니다.

 

ESET의 위협 연구 책임자 Jean-Ian Boutin은,
“지난 몇 달 동안 이 그룹의 활동이 증가하면서 악성 메일이 대상의 사서함에 지속적으로 노출되고 있습니다. 이러한 메일에 첨부된 파일은 악성 매크로가 포함된 문서이며 실행 시 다양한 유형의 맬웨어 다운로드를 시도합니다.”
라고 말했습니다.

 

최신 도구는 공격 대상 시스템의 기존 문서에 악성 매크로나 원격 템플릿에 대한 참조를 삽입합니다. 이는 문서가 동료들과 일상적으로 공유되므로 조직의 네트워크 내에서 매우 효율적인 이동 방법입니다. 또한 Microsoft Office 매크로 보안 설정을 변경하는 특수 기능 덕분에 영향을 받는 사용자는 문서를 열 때마다 워크스테이션이 다시 손상될 것이라는 것을 알 수 없습니다.

 

이 그룹은 백도어 및 파일 스틸러를 사용하여 손상된 시스템에서 C&C 서버에 업로드 할 중요 문서를 식별하고 수집합니다. 또한 이러한 파일 스틸러는 C&C 서버에서 임의 코드를 실행할 수도 있습니다.

 

Gamaredon과 다른 APT 그룹 사이에는 한 가지 큰 차이점이 있습니다. 공격자는 레이더에 탐지되지 않기위한 노력을 거의 하지 않습니다. 이 그룹의 도구는 보다 은밀한 기술을 사용할 수 있는 능력이 있지만 데이터를 유출시키면서 대상 네트워크에 최대한 멀리, 빠르게 확산시키는 것이 이 그룹의 주요 목표인 것으로 보입니다.

 

Boutin은 ESET의 발견에 대해,
“손상된 사서함을 악용하여 피해자의 동의없이 악성 메일을 보내는 것이 새로운 기술은 아니지만, OTM 파일과 Outlook 매크로를 사용하여 이를 달성한 공격 그룹을 최초로 문서화 한 사례라고 생각합니다. Gamaredon 그룹이 캠페인 기간 내내 사용한 다양한 악성 스크립트, 실행 파일 및 문서 샘플을 수집할 수 있었습니다."
라고 설명했습니다.

 

Gamaredon  캠페인의 일반적인 감염 체인

Gamaredon 그룹은 2013년부터 활동해 왔습니다. 그들은 주로 우크라이나 기관에 대한 공격을 여러 차례 담당해 왔습니다.

 

본 조사에서 논의된 도구는 ESET 제품에서 MSIL/Pterodo, Win32/Pterodo 또는 Win64/Pterodo의 변종으로 탐지됩니다.

 

Gamaredon의 최신 도구에 대한 자세한 기술 정보는 WeLiveSecurity.com 블로그 게시물 Gamaredon group grows its game 을 참조하십시오. ESET Research의 최신 뉴스를 보려면 Twitter에서 ESET Research를 팔로우하십시오.

 

• 파이낸셜신문 : 이셋 "가마레돈그룹이 MS 아웃룩·오피스 타깃한 맬웨어 발견"