Belarus-Linked Ghostwriter Uses Macropack-Obfuscated Excel Macros to Deploy Malware
- 공격 개요
- Ghostwriter 그룹(aka Moonscape, TA445, UAC-0057, UNC1151)은 2016년부터 활동 중인 벨라루스 연계 사이버 위협 조직으로, 러시아의 안보 이익에 부합하고 NATO를 비판하는 내러티브를 확산함
- 이번 공격은 벨라루스 내 반정부 활동가 및 우크라이나 군사·정부 조직을 주요 타깃으로 삼음
- Microsoft Excel 문서에 악성코드를 삽입해 PicassoLoader 변종을 배포하는 방식 사용
- 공격 방법
- 초기 공격 단계: Google Drive에 "Vladimir Nikiforech" 계정으로 RAR 압축 파일을 호스팅
- 악성 Excel 문서를 포함한 RAT(Remote Access Trojan) 파일 제공
- 사용자가 매크로를 활성화하면 난독화된 매크로가 DLL 파일을 생성하여 PicassoLoader 간소화 버전을 실행
- 피해자에게는 미끼용 Excel 파일을 보여주며, 백그라운드에서는 추가 페이로드를 다운로드
- 추가 공격 기법
- Cobalt Strike 포스트 익스플로잇 도구를 사용해 추가 악성코드 배포
- 우크라이나 관련 테마의 Excel 문서로 피해자를 유인
- 원격 URL("sciencealert[.]shop")을 통해 JPG 이미지 형식으로 2차 악성코드 다운로드 (스테가노그래피 사용)
- LibCMD DLL을 활용해 cmd.exe를 실행하고 stdin/stdout에 연결하는 방식
- 주요 기술적 요소
- Macropack을 이용한 VBA 매크로 난독화 기법 사용
- .NET 어셈블리로 메모리에 직접 로딩해 실행
- ConfuserEx를 이용한 추가적인 난독화 적용
- 보안 권고
- 외부에서 받은 Excel 파일의 매크로 기능 비활성화 유지
- 출처가 불분명한 RAR, ZIP 파일 다운로드 및 실행 자제
- 스테가노그래피를 통한 이미지 파일 내 악성코드 삽입 가능성 주의
- 백신 소프트웨어와 EDR(Endpoint Detection and Response) 솔루션을 최신으로 유지하고 지속적인 모니터링 필요
- 결론
- Ghostwriter 그룹은 우크라이나를 대상으로 지속적인 사이버 첩보 활동을 수행하고 있음
- 주요 공공기관 및 군사 조직은 강화된 이메일 보안과 문서 파일에 대한 별도의 검증 체계를 마련해야 함
- 글로벌 사이버 위협 인텔리전스(Cyber Threat Intelligence, CTI)를 활용해 최신 위협 정보를 반영한 보안 정책을 유지해야 함
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
악성 npm 패키지, 개발자를 노린 공급망 공격 발생 (0) | 2025.03.08 |
---|---|
LightSpy 스파이웨어, 100개 이상의 명령으로 제어력 강화 (0) | 2025.03.08 |
‘클라우드·엔드포인트·네트워크’ 보호하는 ‘MDR’ 보안 솔루션...실시간 SOC 보호·규제 준수 충족 (0) | 2025.03.08 |
월드시큐 보안 뉴스 요약, MS 365 봇넷 공격부터 슬리버 C2 취약점까지 (0) | 2025.03.08 |
개인정보보호책임자협의회(CPO협의회) 염흥열 회장 "PET 기술로 개인정보 보호와 활용의 균형 찾는다" (0) | 2025.03.08 |