Ghostwriter Malware Targets Government Organizations with Weaponized XLS File
Ghostwriter Malware Targets Government Organizations with Weaponized XLS File
A new wave of cyberattacks attributed to the Ghostwriter Advanced Persistent Threat (APT) group has been detected, targeting government and military entities.
gbhackers.com
- Ghostwriter APT 그룹 개요
- Ghostwriter(UNC1151 또는 UAC-0057) 그룹은 벨라루스 정부와 연관된 국가 지원 사이버 공격 그룹
- 우크라이나 정부 및 군사 기관과 벨라루스 반대 세력을 주요 타깃으로 삼음
- 2024년 말부터 활동을 시작, 정치적 수감자 보고서 및 반부패 활동을 가장한 악성 Excel 파일 사용
- 공격 방법 및 기술적 세부사항
- 공격 방식
- 피싱 이메일을 통해 Google Drive에 호스팅된 악성 XLS 파일 다운로드 유도
- 피해자가 매크로(Macro)를 활성화하도록 유도하여 악성 스크립트 실행
- Visual Basic for Applications (VBA) 스크립트를 통한 악성코드 배포
- PicassoLoader 다운로드
- 다운로더 악성코드로, Ghostwriter 캠페인에 맞게 변형된 버전 사용
- DLL 파일을 시스템 임시 디렉터리에 설치하고, regsvr32.exe를 통해 실행
- 탐지 회피 기술
- ConfuserEx, Macropack 도구 사용하여 코드 난독화
- 정상적인 Excel 파일을 가장한 디코이(Decoy) 파일 활용
- C2(Command-and-Control) 서버와의 통신을 JPEG 이미지 파일 URL로 위장
- 공격 방식
- 선택적 악성코드 전달 방식
- 공격자는 IP 주소, 사용자 에이전트 문자열 등 클라이언트 프로필을 확인 후 악성 페이로드 전달
- 지정된 타깃에게만 악성코드를 배포하여 연구자 또는 자동화 방어 시스템의 탐지를 회피
- 공격 범위 제한을 통해 피해 분석 및 탐지 가능성을 최소화
- 지리적 및 정치적 배경
- 벨라루스의 지정학적 이익과 일치
- 우크라이나 정부의 안정성 저해 및 벨라루스 국내 반대 세력 억압
- 공격 시점은 2025년 1월 벨라루스 대통령 선거 및 우크라이나와의 지속적 갈등과 맞물림
- Ghostwriter 그룹의 PicassoLoader 사용은 APT 그룹과의 직접적 연관성을 강화
- 벨라루스의 지정학적 이익과 일치
- 보안 권고
- 매크로(Macro) 비활성화
- 특히 Office 문서 내에서 자동 실행 차단
- 강력한 이메일 필터링 솔루션 도입
- 피싱 이메일을 통한 악성 파일 전파 차단
- 의심스러운 도메인 및 URL에 대한 차단 정책 강화
- 조직 내 보안 인식 교육 강화
- 의심스러운 파일 다운로드 및 실행 주의
- 매크로(Macro) 비활성화
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| MITRE, AI 보안 도전과제 해결 위한 OCCULT 프레임워크 발표 (0) | 2025.03.10 |
|---|---|
| Krpano 프레임워크 취약점 악용해 350개 이상 웹사이트에 스팸 광고 삽입 (1) | 2025.03.10 |
| LCRYX 랜섬웨어, 시스템 도구 차단 및 고급 은폐 기술로 Windows 시스템 공격 (0) | 2025.03.10 |
| 2025년 새롭게 등장한 랜섬웨어 그룹과 데이터 유출 사이트(DLS) 증가 (0) | 2025.03.10 |
| macOS 대상 트로이 목마, 'Poseidon' 악성코드의 새로운 침투 기법 (0) | 2025.03.10 |