Kant's IT/Issue on IT&Security

벨라루스 연계 Ghostwriter 그룹, Macropack-난독화된 Excel 매크로로 악성코드 배포

Kant Jo 2025. 3. 8. 22:28

Belarus-Linked Ghostwriter Uses Macropack-Obfuscated Excel Macros to Deploy Malware

 

  • 공격 개요
    • Ghostwriter 그룹(aka Moonscape, TA445, UAC-0057, UNC1151)은 2016년부터 활동 중인 벨라루스 연계 사이버 위협 조직으로, 러시아의 안보 이익에 부합하고 NATO를 비판하는 내러티브를 확산함
    • 이번 공격은 벨라루스 내 반정부 활동가 및 우크라이나 군사·정부 조직을 주요 타깃으로 삼음
    • Microsoft Excel 문서에 악성코드를 삽입해 PicassoLoader 변종을 배포하는 방식 사용
  • 공격 방법
    • 초기 공격 단계: Google Drive에 "Vladimir Nikiforech" 계정으로 RAR 압축 파일을 호스팅
    • 악성 Excel 문서를 포함한 RAT(Remote Access Trojan) 파일 제공
    • 사용자가 매크로를 활성화하면 난독화된 매크로가 DLL 파일을 생성하여 PicassoLoader 간소화 버전을 실행
    • 피해자에게는 미끼용 Excel 파일을 보여주며, 백그라운드에서는 추가 페이로드를 다운로드
  • 추가 공격 기법
    • Cobalt Strike 포스트 익스플로잇 도구를 사용해 추가 악성코드 배포
    • 우크라이나 관련 테마의 Excel 문서로 피해자를 유인
    • 원격 URL("sciencealert[.]shop")을 통해 JPG 이미지 형식으로 2차 악성코드 다운로드 (스테가노그래피 사용)
    • LibCMD DLL을 활용해 cmd.exe를 실행하고 stdin/stdout에 연결하는 방식
  • 주요 기술적 요소
    • Macropack을 이용한 VBA 매크로 난독화 기법 사용
    • .NET 어셈블리로 메모리에 직접 로딩해 실행
    • ConfuserEx를 이용한 추가적인 난독화 적용
  • 보안 권고
    • 외부에서 받은 Excel 파일의 매크로 기능 비활성화 유지
    • 출처가 불분명한 RAR, ZIP 파일 다운로드 및 실행 자제
    • 스테가노그래피를 통한 이미지 파일 내 악성코드 삽입 가능성 주의
    • 백신 소프트웨어와 EDR(Endpoint Detection and Response) 솔루션을 최신으로 유지하고 지속적인 모니터링 필요
  • 결론
    • Ghostwriter 그룹은 우크라이나를 대상으로 지속적인 사이버 첩보 활동을 수행하고 있음
    • 주요 공공기관 및 군사 조직은 강화된 이메일 보안과 문서 파일에 대한 별도의 검증 체계를 마련해야 함
    • 글로벌 사이버 위협 인텔리전스(Cyber Threat Intelligence, CTI)를 활용해 최신 위협 정보를 반영한 보안 정책을 유지해야 함