2022-12-08 09:25 (목)
우크라이나 기업·단체 노린 공격그룹 UNC2589와 UNC1151 분석 내용
상태바
우크라이나 기업·단체 노린 공격그룹 UNC2589와 UNC1151 분석 내용
  • 길민권 기자
  • 승인 2022.07.26 16:31
이 기사를 공유합니다

주로 '대피 안내 및 인도주의 관련 문서' 등으로 위장해 피싱 공격
우크라이나를 대상으로 한 가짜 대피 안내 이메일(출처=맨디언트)
우크라이나를 대상으로 한 가짜 대피 안내 이메일(출처=맨디언트)

러시아 침공이 시작된 이후 공공 및 민간 부문의 우크라이나 조직은 여러 사이버 스파이 그룹의 표적이 되었다. 맨디언트는 블로그 포스팅에서 UNC2589와 UNC1151 위협 행위 집합체의 피싱 활동에 대해 분석 내용을 공개했다. 

위협 행위자들은 각각 후원 그룹과 나름의 목표가 있지만 스피어 피싱 첨부 파일을 피해자가 열도록 유도하는 공격 방식을 사용하고 있다. ​긴급을 요하거나 시기적절한 주제를 활용하면 수신자가 스피어 피싱 메일의 첨부 파일을 열어 볼 가능성이 높기 때문이다.  

UNC2589와 UNC1151의 경우 러시아 침공 후 우크라이나 국민의 최대 관심사인 공공 안전 및 인도주의 관련한 주제를 이용했다. 

피싱 공격에 사용한 첨부 파일은 표적으로 삼은 조직의 네트워크에 접근할 수 있도록 설계되었다. 피싱 성공 후 지속되는 활동에 대해서는 아직까지 보고된 바 없다. 하지만 공격에 사용한 맬웨어는 다양한 작업을 수행할 수 있다. 

UNC2589와 UNC1151은 스파이 활동, 정보 작전(Information Operation), 파괴적인 공격을 수행한 적이 있다. 따라서 주의를 기울여야 한다. 

다음은 맨디언트가 공개한 분석 내용이다. 

◇UNC1151

맨디언트가 추적 및 평가하고 있는 위협 행위 집합체다. 벨라루스가 후원하며 침입을 통해 얻은 정보와 접근 권한을 'Ghostwriter'로 추적되는 정보 작전 작업에 사용했다. 맨디언트는 지난해 UNC1151에 대한 분석 내용을 소개하는 블로그 포스팅을 공개한 바 있다. UNC1151은 러시아 침공이 시작된 이래로 우크라이나를 표적으로 삼는 데 적극적으로 나서고 있다. 

◇UNC2589

이 위협 행위 집합은 러시아 정부의 이익을 위해 악의적 행위로 추정되며, 우크라이나 관련해 광범위한 스파이 활동이 이어지고 있다. 맨디언트는 UNC2589가 1월 14일 PAYWIPE(WHISPERGATE)를 사용한 우크라이나 정부 기관 공격의 배후에 있다고 보고 있다. 한편, UNC2589는 우크라이나를 주요 공격 대상으로 삼지만 북미와 유럽의 NATO 회원국을 타깃으로 하기도 했다. 

◇UNC2589의 작전 

UNC2589는 여러 사이버 스파이 활동의 집합체인 클러스터다. 맨디언트는 2021년 초부터 UNC2589를 추적해 왔다. 이 위협 행위 집합체의 활동은 빠르면 2020년 말부터 시작된 것으로 보인다. UNC2589는 주로 우크라이나와 동유럽 조직을 표적으로 삼지만 유럽과 북미 지역 국방 기관도 적극적으로 노렸다. 맨디언트는 UNC2589가 러시아 정부를 위해 일을 한다고 생각한다. 하지만 이를 뒷받침할 증거는 아직 찾지 못했다. 

UNC2589는 탈취한 계정과 행위자가 직접 생성해 제어하는 계정을 이용해 스피어 피싱 캠페인을 진행했다. UNC2589이 사용한 미끼의 주제는 코로나19, 우크라이나 전쟁, 정부 관련 테마, 지역 테마, 비트코인 같은 일반적인 테마가 있다. 피싱 작업의 페이로드에는 악성 매크로 문서, CPL 다운로더, ZIP 파일 및 기타 아카이브가 포함된다. 또한 UNC2589는 행위자가 제어하는 도메인 및 주로 러시아에 위치한 IP 주소와 디스코드 채널 등 다양한 인프라를 사용했다. 

맨디언트는 UNC2589가 지난 1월 14일 우크라이나 정부 기관을 목표로 진행된 파괴적 공격을 감행한 것으로 보고 있다. 맨디언트는 UNC2589가 향후 더 파괴적인 사이버 작전에 관여할 수 있다고 믿는다. 

이들이 사용한 멀웨어 GRIMPLANT는 Go 언어로 작성한 백도어로 구글 RPC를 사용해 C&C(Command & Control) 서버에 연결한다. GRAPHSTEEL은 공개된 깃허브 프로젝트인 goLazagne를 수정해 공격용 무기로 만든 것으로 보인다. GRAPHSTEEL은 브라우저 자격 증명을 포함해 피해자 시스템에 대한 정보를 수집하고 드라이브를 열거하고 파일을 C&C 서버에 업로드한다. 

또 맨디언트는 UNC2589가 2022년 2월 말 피싱 캠페인을 통해 우크라이나 법인을 대상으로 공격에 동원했을 가능성이 있어 보이는 대피 계획 관련 주제의 악성 문서를 분석했다. 이 샘플은 RemoteUtils 유틸리티의 아랍어 버전을 실행 및 설치하는 압축 SFX RAR이다. 실행 시 원격 유틸리티는 우크라이나를 대상으로 수행된 이전 UNC2589의 작업에 사용되었던 C&C와 연결된다. 

또 가짜 대피 안내 이메일을 통해 공격을 시도했다. 감염 경로는 현재 불확실하지만 악성 파일이 피싱 이메일을 통해 전달되었을 가능성이 있다. 원격 유틸리티는 UPX로 패킹된 SFX RAR 압축 파일로 제공되면 공격자가 기본 값을 변경한 것으로는 보이지 않는다. 그러나 공격자는 SFX RAR 파일에 있는 기본 UPX 압축 SFX(Selft Extracting Archive) 추출기를 삭제하고 실행하기 전에 여러 계층의 암호로 보호된 아카이브를 사용한 것으로 보인다. 미끼 문서는 모두 우크라이나 보안국에서 작성한 것으로 추정되는 '대피 계획'을 언급하고 있다. 

◇UNC1151 캠페인 분석 

UNC1151은 벨라루스 정부와 연결된 사이버 스파이 활동 클러스터다. UNC1151은 Ghostwriter 정보 작전 캠페인에 기술 지원을 제공한다. Ghostwriter 활동에 대한 러시아의 기여를 배제할 수는 없지만 러시아 APT와 UNC1151 간의 협력에 대한 증거는 아직 확인하지 못했다.  

UNC1151은 주로 우크라이나, 리투아니아, 라트비아, 폴란드 및 독일의 정부 및 언론 기관을 대상으로 위협을 가한다. UNC1151은 지난 2월 러시아가 우크라이나를 침공한 이후 우크라이나와 폴란드를 주 공격 대상으로 삼았다. 

이들이 사용한 멀웨어 BEACON은 Cobalt Strike 프레임워크의 일부인 C/C++로 작성된 백도어다. 지원되는 백도어 명령에는 쉘 명령 실행, 파일 전송, 파일 실행 및 파일 관리가 포함된다. BEACON은 키 입력과 스크린샷을 캡처 할 수 있을 뿐만 아니라 프록시 서버 역할도 한다. 또한 자격 증명 수집, 포트 스캔 및 네트워크 내에 있는 시스템 열거 작업도 수행할 수 있다. BEACON은 HTTP 또는 DNS를 통해 C&C 서버와 통신한다. 

한편 MICROBACKDOOR는 2021년 5우러부터 깃허브를 통해 사용할 수 있게 된 클라이언트 백도어 및 서버 측 도구다. MICROBACKDOOR는 BlackEnergy를 포함하여 러시아 APT에서 사용하는 다른 주목할 만한 맬웨어를 개발한 Cr4sh(일명 Dmytro Oleksiuk)가 만들었다. 

MICROBACKDOOR는 파일을 업로드 및 다운로드 하고, 명령을 실행하고, 자체 업데이트를 하고, 스크린샷을 찍을 수 있다. 또한 HTTP, Socks4 및 Socks5 프록시를 통해 트래픽을 라우팅한다. 

2022년 3월 초 맨디언트 위협 인텔리전스는 MICROBACKDOOR 악성 코드를 포함한 '포격 상황에서 무엇을 해야 할까요'라는 메일 내용을 입수했다. 위협 행위자는 페이로드 전달을 위해 CHM 파일이 포함된 ZIP 파일을 사용했다. 

C:\Users\Public\Favorites\desktop.in 경로에 desktop.ini가 없으면 dovidka.chm 내의 VBS 코드는 디코딩 된 페이로드를 C:\Users\Public\ignit.vbs에 둔다. 그런 다음 코드는 C:\Users\Public\Favorites 폴더를 만들고C:\Users\Public\ignit.vbs를 실행한다. 

C:\Users\Public\Libraries\core.dll 파일은 Confuser와 관련될 수 있는 알려지지 않은 난독화 프로그램이 포함된 .NET 파일이다. 이 샘플은 추가 악성 페이로드를 메모리에서 삭제하고 실행한다. 

페이로드(MD5: 047fbbb380cbf9cd263c482b70ddb26f)는 MICROBACKDOOR의 샘플입니다. 이 백도어 악성 코드는 파일 조작(list/get/put), 명령 실행, 자동 업데이트, 스크린샷 찍기 같은 기능을 갖고 있습니다. 이 제품군은 트래픽 라우팅을 위해 HTTP, Socks4 및 Sockets5 프록시도 지원한다. MICROBACKDOOR는 Dmytro Olekusiuk라고도 하는 cr4sh가 만든 오픈 소스 프로젝트다. 

이전에 UNC1151가 사용한 다른 MICROBACKDOOR 샘플과 마찬가지로 이 샘플에는 스크린샷 기능이 추가된 것으로 보인다. 일단 실행이 되면 MICROBACKDOOR 페이로드는 'xbeta.online:8443' C&C 서버에 도달하며 10초마다 패킷을 전송한다. 

★정보보안 대표 미디어 데일리시큐!★