시스템·데이터 파괴 및 사이버 스파이 활동 전개
[데이터넷] 러시아-우크라이나 전쟁 상황을 악용, 러시아 사이버 공격자들이 ‘일제 사격 시스템 포격 – 어떻게 해야 하는가?’, ‘대피 계획’ 등의 제목으로 우크라이나 공공 기관·민간 조직에게 악성메일을 보낸 것으로 확인됐다. 맨디언트에 따르면 이들은 엑셀용 매크로를 만드는 기업인 ExcelVBA.ru의 합법적인 매크로를 사용했는데, 이 회사가 악성행위와 관련이 있다는 증거는 없는 것으로 보인다.
맨디언트 보고서는 “긴급하거나 시기적절한 주제의 스피어 피싱은 수신자가 열 가능성이 높다. 공공 안전 및 인도주의적 비상 사태와 관련된 문서는 러시아 침공 이후 우크라이나 거주자들에게 특히 높은 관심을 받고 있다. 이러한 공격은 공격 목표인 네트워크에 액세스하도록 설계됐지만 계획된 후속 활동에 대한 통찰력이 없다. 이러한 침입 시도에 사용된 맬웨어는 다양한 작업을 수행할 수 있으며 이러한 그룹은 이전에 간첩, 정보 작업 및 파괴적인 공격을 수행했다”고 설명했다.
파괴적 공격 수행한 러시아 해커
맨디언트는 ‘UNC2589’라고 명명한 러시아 정부를 위해 활동하는 조직이 이 공격을 진행한 것으로 보고 있으며, 위스퍼게이트(WHISperGATE) 혹은 페이와이프(PAYWIPE)라고도 불리는 멀웨어를 사용해 우크라이나 정부 기관을 겨냥한 파괴적인 사이버 공격과 광범위한 스파이 활동을 전개한다.
이들은 러시아 공격 개시 이후인 3월 27일 그림플랜트(GRIMPLANT)와 그래프스틸(GraphSTEEL) 멀웨어를 우크라이나 기관에 유포한 것으로 파악됐으며, 우크라이나 여러 기관에 대한 파괴적인 공격을 단행한 것으로 분석된다. 이들은 북미와 유럽 NATO 국가를 대상으로도 공력 활동을 펼치고 있다.
맨디언트는 UNC2589를 지난해 초부터 추적해왔으며, 우크라이나와 동유럽 기관을 주로 공격했고, 유럽의 정부·국방기관도 적극적으로 공격했다. 이들은 탈취한 계정을 이용해 스피어피싱을 유포했으며, 코로나19, 우크라이나 전쟁, 타깃 지역에서 이슈가 되는 내용이나 비트코인 등의 주제로 악성메일을 배포했다. 또한 이들은 러시아에 위치한 IP 주소나 디스코드 채널을 포함한 다양한 인프라를 사용했다.
맨디언트는 UNC2589와 유사한 멀웨어를 사용하는 ‘UNC1151’에 대해서도 분석했다. 이들은 UNC2589와 공격기법이 유사하며, 러시아의 우크라이나 침공 후 적극적으로 우크라이나를 공격하고 있지만, UNC2589와 다른 벨라루스 후원을 받는 조직으로 알려진다. 맨디언트는 이들이 러시아를 위해 활동하고 있을 가능성을 배제할 수 없지만, 러시아 공격그룹과 협력하고 있다는 증거를 확보하지는 못했다고 밝혔다.
이들은 비컨(BEACON) 백도어 페이로드와 스크린샷 기능이 포함된 마이크로백도어(MICROBACKDOOR)의 수정 버전 멀웨어를 사용하며, ‘고스트라이터(Ghostwriter)’로 명명된 정보작전(IO)을 지원하기 위해 침투로 얻은 접근 권한과 정보를 사용한다. 비컨은 코발트 스트라이크 프레임워크 일부인 C/C++로 작성된 백도어로, 키 입력과 스크린샷을 캡처할 수 있고 프록시 서버 역할도 수행한다. 시스템 자격증명 수집, 포트스캔, 네트워크 시스템 열거 작업 등을 수행한다.
마이크로백도어는 지난해 5월부터 깃허브에서 사용하는 클라이언트 백도어 및 서버측 도구로, 블랙에너지(BlackEnergy) 등 러시아 APT 조직이 사용하는 멀웨어를 개발한 ‘Cr4sh(Dmytro Oleksiuk로도 불림)’에 의해 개발된 것으로 알려진다. 마이크로백도어는 파일을 업로드·다운로드하고, 명령을 실행하며, 자체 업데이트하고, 스크린샷을 찍을 수 있다. 또한 HTTP, Socks4 및 Socks5 프록시를 지원하여 트래픽을 라우팅한다.
