Ghostwriter 악성코드, 정부 기관 대상 무기화된 Excel 파일을 활용한 공격

Kant Jo 2025. 3. 10. 15:30

Ghostwriter Malware Targets Government Organizations with Weaponized XLS File

A new wave of cyberattacks attributed to the Ghostwriter Advanced Persistent Threat (APT) group has been detected, targeting government and military entities.

gbhackers.com

Ghostwriter APT 그룹 개요
- Ghostwriter(UNC1151 또는 UAC-0057) 그룹은 벨라루스 정부와 연관된 국가 지원 사이버 공격 그룹
- 우크라이나 정부 및 군사 기관과 벨라루스 반대 세력을 주요 타깃으로 삼음
- 2024년 말부터 활동을 시작, 정치적 수감자 보고서 및 반부패 활동을 가장한 악성 Excel 파일 사용
공격 방법 및 기술적 세부사항
- 공격 방식
  - 피싱 이메일을 통해 Google Drive에 호스팅된 악성 XLS 파일 다운로드 유도
  - 피해자가 매크로(Macro)를 활성화하도록 유도하여 악성 스크립트 실행
  - Visual Basic for Applications (VBA) 스크립트를 통한 악성코드 배포
- PicassoLoader 다운로드
  - 다운로더 악성코드로, Ghostwriter 캠페인에 맞게 변형된 버전 사용
  - DLL 파일을 시스템 임시 디렉터리에 설치하고, regsvr32.exe를 통해 실행
- 탐지 회피 기술
  - ConfuserEx, Macropack 도구 사용하여 코드 난독화
  - 정상적인 Excel 파일을 가장한 디코이(Decoy) 파일 활용
  - C2(Command-and-Control) 서버와의 통신을 JPEG 이미지 파일 URL로 위장
선택적 악성코드 전달 방식
- 공격자는 IP 주소, 사용자 에이전트 문자열 등 클라이언트 프로필을 확인 후 악성 페이로드 전달
- 지정된 타깃에게만 악성코드를 배포하여 연구자 또는 자동화 방어 시스템의 탐지를 회피
- 공격 범위 제한을 통해 피해 분석 및 탐지 가능성을 최소화
지리적 및 정치적 배경
- 벨라루스의 지정학적 이익과 일치
  - 우크라이나 정부의 안정성 저해 및 벨라루스 국내 반대 세력 억압
- 공격 시점은 2025년 1월 벨라루스 대통령 선거 및 우크라이나와의 지속적 갈등과 맞물림
- Ghostwriter 그룹의 PicassoLoader 사용은 APT 그룹과의 직접적 연관성을 강화
보안 권고
- 매크로(Macro) 비활성화
  - 특히 Office 문서 내에서 자동 실행 차단
- 강력한 이메일 필터링 솔루션 도입
  - 피싱 이메일을 통한 악성 파일 전파 차단
- 의심스러운 도메인 및 URL에 대한 차단 정책 강화
- 조직 내 보안 인식 교육 강화
  - 의심스러운 파일 다운로드 및 실행 주의

저작자표시 비영리 변경금지 (새창열림)