러시아 해킹 그룹 '가마레돈', 우크라이나 내 서방 군사 목표 공격
이동식 저장 장치 통해 악성코드 퍼뜨리는 방식으로 은밀 침투
댓글 0
기사입력
: 2025.04.11 10:49
[시큐리티팩트=최석윤 기자] 러시아가 배후로 알려진 해킹 그룹 '가마레돈'(Gamaredon, 일명 '슈크웜'(Shuckworm))이 우크라이나에 있는 서방 국가들의 군사 관련 목표를 집중 공격하고 있는 것으로 드러났다고 10일(현지시각) 브리핑컴퓨터가 밝혔다. 특히 이들은 이동식 저장 장치(USB 드라이브 등)를 통해 악성코드를 퍼뜨리는 방식으로 은밀하게 침투하고 있어 주의가 요구된다.
보안 기업 시만텍 "2월부터 지속 공격" 밝혀
글로벌 사이버 보안 기업 시만텍(Symantec)의 위협 연구팀은 이 공격이 지난 2월에 시작되어 3월까지 이어진 것으로 분석했다. 연구팀에 따르면, 가마레돈 그룹은 표적 시스템에서 민감한 정보를 빼내기 위해 '감마스틸(GammaSteel)'이라는 정보 탈취 악성코드의 업데이트된 버전을 사용했다.
감염된 시스템에 대한 최초 접근 경로는 악성 '.LNK' 파일, 즉 바로가기 파일이었는데, 이는 가마레돈 그룹이 과거에도 자주 사용했던 침투 방식이다.
공격 방식 진화.. 은폐·회피 기술 강화
시만텍 연구팀은 이번 공격에서 가마레돈 그룹의 전술에 주목할 만한 변화가 감지되었다고 밝혔다. 과거에는 악성 VBS 스크립트를 주로 사용했지만, 이번에는 파워쉘(PowerShell) 기반의 도구를 활용하는 빈도가 늘었다. 또한, 악성코드 활동을 숨기기 위한 난독화(코드를 알아보기 어렵게 만드는 기술) 수준을 높이고, 합법 서비스를 악용하여 탐지를 회피하려는 시도가 증가한 것으로 분석됐다.
이번 조사 과정에서 연구팀은 감염된 시스템의 윈도우 레지스트리에서 'UserAssist' 키 아래에 새로운 값이 생성된 것을 발견했다. 이는 'files.lnk'라는 이름의 바로가기 파일이 외부 드라이브, 즉 이동식 저장 장치를 통해 감염이 시작되었음을 시사하는 중요한 증거이다.
악성 스크립트 실행, C2 서버 통신
감염 이후, 난독화 처리된 악성 스크립트는 두 개의 파일을 생성하고 실행한다. 첫 번째 파일은 공격자의 명령 및 제어(C2) 서버와 통신을 담당한다. 이 과정에서 합법 서비스를 이용하여 실제 서버 주소를 숨기고, 클라우드플레어(Cloudflare)로 보호된 URL을 통해 통신을 시도한다.
두 번째 파일은 LNK 파일을 이용하여 다른 이동식 드라이브와 네트워크 드라이브를 감염시키는 확산 메커니즘을 처리한다. 동시에 특정 폴더와 시스템 파일을 숨겨 시스템 손상 위험을 은폐하려는 시도를 보인다.
정보 수집·유출.. 스크린샷, 백신 정보, 파일 탈취
다음 단계에서 가마레돈 그룹은 감염된 장치의 스크린샷을 찍어 유출하고, 설치된 백신 프로그램 목록, 파일 정보, 실행 중인 프로세스 목록 등 시스템 정보를 수집하는 정찰용 파워쉘 스크립트를 사용했다.
최종적으로 사용된 악성 페이로드는 윈도우 레지스트리에 저장된 파워쉘 기반의 업데이트된 감마스틸(GammaSteel) 정보 탈취 악성코드였다. 이 악성코드는 바탕화면, 문서, 다운로드 폴더 등 다양한 위치에서 문서 파일(.DOC, .PDF, .XLS, .TXT)을 훔칠 수 있어, 가마레돈 그룹의 지속적인 정보 탈취 활동에 대한 관심을 다시 한번 확인시켜준다.
탈취된 파일은 'certutil.exe'라는 합법적인 명령줄 도구를 사용하여 해시 처리된 후, 파워쉘 웹 요청을 통해 외부로 유출된다. 만약 유출에 실패할 경우, 가마레돈 그룹은 익명 통신 네트워크인 Tor(토르)를 통해 cURL(명령줄 웹 요청 도구)을 사용하여 훔친 데이터를 전송하는 치밀함을 보였다.
마지막으로, 공격자들은 'HKCUSoftwareMicrosoftWindowsCurrentVersionRun' 레지스트리 키에 새로운 값을 추가하여 대상 컴퓨터에서 악성코드가 지속적으로 실행되도록 설정했다.
기술 개선, 서방 네트워크 위협 수준 높아져
시만텍 측은 이번 가마레돈 그룹의 최신 공격 캠페인이 다른 러시아 정부 배후 해킹 그룹에 비해 기술적인 정교함은 제한적일 수 있지만, 작전 은폐성과 효율성을 높이려는 뚜렷한 노력을 보여준다고 분석했다.
특히 가마레돈 그룹의 끈질긴 공격 성향을 고려할 때, 이들의 전술, 기술 및 절차(TTP)가 점진적이지만 의미 있게 개선되고 있다는 점은 서방 네트워크에 대한 위협 수준이 더욱 높아졌음을 의미한다고 시만텍은 경고했다. 이동식 저장 장치를 이용한 침투 방식은 초기 감염 경로를 숨기고 탐지를 어렵게 만들 수 있어 더욱 주의가 필요하다.
