스피어 피싱 이메일에 악성 매크로 문서 첨부해 시스템 지속성 확보
웹후크 서비스 인프라 악용해 악성코드 외부 통신 은폐...악성코드 대신 VBScript 등 기본 도구 조합

[보안뉴스 김형근 기자] 러시아 정부의 지원을 받는 것으로 알려진 해킹 그룹 APT28이 서유럽 및 중부 유럽 기관을 겨냥한 사이버 공격 캠페인 ‘매크로메이즈 작전’(Operation MacroMaze)을 전개한 것으로 확인됐다.


23일(현지시각) 더해커뉴스 등 외신에 따르면, 스페인 보안 기업 S2그룹 소속 위협인텔리전스 팀 LAB52는 지난해 9월부터 올해 1월까지 해당 캠페인 활동을 분석했다. 공격자는 고도화된 악성코드 대신 웹후크와 같은 정식 서비스와 배치 파일 등 기본 도구를 조합해 데이터를 유출했다.

공격은 스피어 피싱 이메일로 시작되며, 첨부된 문서에 보이지 않는 추적용 이미지가 들어있다. 사용자가 문서를 열면 이미지를 불러오기 위한 아웃바운드 HTTP 요청이 발생하며, 이를 통해 공격자는 수신자의 문서 열람 여부를 확인하는 비컨 매커니즘을 가동한다. 이후 시스템 거점 확보 및 추가 페이로드 전송을 위한 악성 매크로가 실행되는 방식이다.

LAB52 분석 결과, 초기 버전은 백그라운드에서 실행되는 ‘헤드리스’(Headless) 브라우저 방식을 사용했고 최신 버전에서는 보안 경고창을 우회하기 위해 키보드 시뮬레이션 기법을 도입하는 등 보안 솔루션의 탐지를 피하기 위한 기법들이 동원됐다.

실행된 매크로는 VBScript와 배치 파일(CMD)을 구동해 작업 스케줄러를 등록하고 지속성을 유지한다. 이어서 마이크로소프트 엣지 브라우저를 화면 밖에서 실행해 Base64로 인코딩된 HTML 페이로드를 렌더링하고, 웹후크 서버로부터 명령을 받아 실행 결과를 수집한다.

데이터 유출 단계에서는 별도의 악성 프로그램 대신 표준 HTML 폼 제출(Form Submission) 기능을 이용한다. 수집된 결과는 사용자 상호작용 없이 다른 웹후크 서버로 전송되며, 이 과정에서 디스크에 남는 흔적(Artifacts)이 최소화된다.

LAB52는 “이번 캠페인은 단순함이 얼마나 강력한 힘을 발휘할 수 있는지 보여줬다”며 “해커들은 배치 파일이나 소형 VBS 실행 파일, 간단한 HTML 등 기본적인 도구를 사용하지만, 세심한 구성을 통해 유출 작업을 숨겨진 브라우저 세션이나 화면 밖 세션으로 옮기고 흔적을 제거하며 페이로드 전달과 데이터 유출을 널리 쓰이는 웹후크 서비스에 위탁하는 등의 방식으로 은밀성을 극대화했다”고 설명했다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>