최근 일련의 사이버 공격이 우크라이나를 대상으로 고도로 정교한 다단계 악성코드 전략을 사용해 수행되었다.

공격의 초기 벡터는 사용자를 속여 매크로를 활성화하도록 유도하는 악성 마이크로소프트 엑셀 문서이다. 문서는 우크라이나어로 내용을 표시하며, 사용자가 매크로를 활성화하면 중요한 군 자금 할당 정보에 접근할 수 있다고 속인다.

마이크로소프트가 2022년에 매크로를 기본적으로 차단하는 업데이트를 했음에도 불구하고, 공격자는 소셜 엔지니어링 전술을 사용해 사용자가 악성 매크로를 활성화하도록 교묘하게 유도했다.

매크로가 활성화되면, 악성코드는 일련의 단계를 통해 대상 시스템을 손상시킨다:

-매크로 실행: 엑셀 매크로가 HEX로 인코딩된 스크립트를 regsvr32 유틸리티를 사용해 DLL 기반 다운로더를 배포한다.

-회피 전술: 다운로더는 안티바이러스와 보안 프로세스를 모니터링하며, 감지되면 스스로 종료한다.

-지리적 타겟 페이로드 검색: 보안 프로세스가 발견되지 않으면, 다운로더는 원격 서버에서 다음 단계의 페이로드를 가져오는데, 이는 해당 장치가 우크라이나에 위치한 경우에만 실행된다.

-DLL 주입: 가져온 페이로드가 추가 DLL 파일을 실행하여 악성코드를 더 배포할 수 있는 견고한 발판을 마련한다.

공격자는 탐지를 피하기 위해 정교한 회피 기술을 사용한다. 주요 내용은 다음과 같다.

-난독화: 페이로드는 중요한 임포트 문자열을 숨기기 위해 난독화된 문자열을 포함하고 있다.

-자기 삭제: 악성코드는 실행 후 흔적을 제거하는 메커니즘을 포함하고 있다.

-샌드박스 및 디버깅 회피: 지연 전술과 상위 프로세스 종료를 통해 샌드박싱 및 디버깅을 회피한다.

공격의 마지막 단계는 코발트 스트라이크를 배포하는 것이다. 이 도구는 원래 합법적인 침투 테스트를 위해 설계되었지만, 이제는 사이버 범죄자들에 의해 광범위하게 사용되고 있다. 코발트 스트라이크는 지속적인 명령 및 제어(C2) 채널을 설정해 공격자가 접근을 유지하고 데이터를 탈취하며 추가 악성코드를 배포할 수 있게 한다.

이번 공격은 특히 러시아와의 지속적인 갈등 속에서 우크라이나를 대상으로 한 고도의 사이버 작전의 일부다. 이러한 작전은 종종 사이버 및 물리적 군사 작전을 통합하여 수행되며, 사이버 공격은 물리적 군사 행동과 함께 진행된다. 예를 들어, 러시아의 사이버 작전은 자주 우크라이나의 에너지 그리드와 방송사를 타겟으로 서비스를 방해하고 국민들의 불안감을 조성한다.

엑셀 매크로를 통한 최근의 다단계 악성코드 공격과 같은 전술은 최근 사이버 공격자의 공격 방법이 얼마나 정교해지고 있는지 알 수 있는 사례다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★