상세 컨텐츠

본문 제목

Gamaredon 해커, 연락처를 통한 악성코드 확산 위해 아웃룩 매크로 사용

국내외 보안동향

by 알약(Alyac) 2020. 6. 12. 09:21

본문

Gamaredon hackers use Outlook macros to spread malware to contacts


러시아와 관련된 Gamaredon 해커 그룹이 악성 문서를 포함한 커스텀 이메일을 생성하여 피해자의 연락처로 전송하는 마이크로소프트 아웃룩용 모듈을 추가한 것으로 나타났습니다.


공격자는 아웃룩에서 매크로 스크립트를 실행할 수 없도록 보호하는 장치를 비활성화하고 다른 피해자에게 악성코드를 퍼트리는 스피어피싱 공격을 위한 소스 파일을 심습니다.


Gamaredon은 최소 2013년부터 사이버 스파이 활동을 해왔으며, 정치적, 군사적 이익을 위해 우크라이나의 국가 안보 기관을 노렸습니다. 2019년 12월부터 이 공격은 더욱 활성화되었습니다.



자동화된 스피어피싱


Gamaredon(Primitive Bear)이 최근 악성 캠페인에서 사용한 새로운 패키지는 악성 매크로 스크립트를 통해 마이크로소프트 아웃룩 이메일 클라이언트를 노리는 VBA 프로젝트 (.OTM 파일)을 포함하고 있었습니다.


연락처를 통해 악성코드를 배포하기 위해 이메일 계정을 해킹하는 것은 새로운 방법은 아닙니다. 


하지만 ESET의 악성코드 연구원들은 Gamaredon이 사용한 방법은 이전에 문서화되지 않은 새로운 방식이었다고 설명했습니다.


모듈을 분석 결과, 연구원들은 VBScript로 시작되어 아웃룩 프로세스를 종료시키는 공격 체인을 발견했습니다.


그 후 스크립트는 아웃룩에서 VBA 매크로를 실행하는 것을 막는 보안 장치를 제거하기 위해 레지스트리 값을 수정하고, 감염된 문서를 연락처 목록 내 이메일 주소로 확산시키는 악성 OTM 파일을 디스크에 저장합니다.


아웃룩은 한 번에 하나의 VBA 프로젝트만을 지원하고, Gamaredon 액티비티에 사용된 OTM 파일은 악성 이메일 첨부파일인 VBA 스크립트(매크로) 하나를 포함하고 있었습니다.


이 파일은 메시지를 수신할 타깃의 목록을 포함할 수도 있습니다. 


ESET에 따르면, 공격자는 피해자의 연락처 목록에 포함된 모든 연락처, 동일한 조직에 속한 모든 사람, 선 정의된 이메일 주소를 통한 스피어피싱 공격을 실행할 수 있습니다.


이 VBA 코드는 이메일의 본문 내용과 악성 파일 (.DOCX, .LNK)을 생성하는 역할을 합니다.



<이미지 출처: https://www.welivesecurity.com/2020/06/11/gamaredon-group-grows-its-game/>



ESET에 따르면, Gamaredon은 감염된 호스트 내 문서에 악성 매크로 또는 원격 템플릿을 주입하는 모듈인 VodeBuilder 변종 다수를 가지고 있습니다.


이 방법은 조직 내에서 문서가 공유되는 경우가 있으며, 파일이 여러 차례 오픈될 가능성이 있기 때문에 지속성 또한 얻을 수 있어 효과적입니다.


“이 매크로 주입 모듈은 마이크로소프트 오피스 매크로 보안 설정을 변경하는 기능 또한 포함하고 있습니다. 따라서 감염된 사용자는 문서를 오픈할 때마다 워크스테이션이 또 다시 해킹된다는 위험을 전혀 인지하지 못하게 됩니다. 이 모듈은 C#, VBScript로 구현되었습니다.”


연구원들은 이러한 방식을 통해 악성코드가 확산되면서 다운로더와 백도어가 가장 많이 배포되었다고 밝혔습니다. 


일부는 2017년 이후 발견된 변종을 위한 업데이트이며, 다른 일부는 다른 프로그래밍 언어를 통해 덮어쓰기 합니다.



다운로더 – 악성코드 로드 및 실행

악성 백도어 및 파일 스틸러 – 문서를 열거 후 C&C서버로 업로드; C&C로부터 다른 코드를 다운로드 및 실행하는 것도 가능

배치 파일 / VBScript – 시스템에서 워드 문서를 스캔하고 문서 이름을 텍스트 파일에 저장



ESET은 Gamaredon의 스크립트는 품질보다는 빠른 개발 및 양을 중요시하기 때문에 연구원들이 알아챌 수 있는 에러와 실수가(소스코드 내 주석, 잘못된 언어 인코딩 등) 많이 발생했다고 밝혔습니다.


현재 알약에서는 해당 악성코드에 대해 'Exploit.CVE-2017-11882'으로 탐지 중에 있습니다.





출처:

https://www.bleepingcomputer.com/news/security/gamaredon-hackers-use-outlook-macros-to-spread-malware-to-contacts/

https://www.welivesecurity.com/2020/06/11/gamaredon-group-grows-its-game/

관련글 더보기

댓글 영역