영국 브렉시트 관련 발표 있을 때마다 정확하게 퍼지는 문건
제카팝이라는 정찰 및 정보 수집용 멀웨어 로딩시키는 페이로드 심겨

[보안뉴스 문가용 기자] 러시아의 APT 그룹인 팬시 베어(Fancy Bear)가 다시 등장했다. 이번에는 최근 국제 사회에서 가장 뜨거운 뉴스 중 하나인 브렉시트를 테마로 삼고 있다. 브렉시트에 대한 소식을 전파하는 척하며 사실은 자신들의 1단계 멀웨어를 여기 저기로 퍼트리고 있는 것이다.


보안 업체 엑센추어 시큐리티(Accenture Security)가 최근 발표한 보고서에 의하면, 팬시 베어는 영국 총리인 테레사 메이(Theresa May)가 브렉시트 협상과 관련된 발표를 하는 타이밍에 맞춰 공격을 감행한다고 한다. 즉, 뉴스가 넘쳐나는 시기에 자신들의 멀웨어를 전파한다는 것.
“팬시 베어는 브렉시트와 관련된 내용으로 미끼용 문서를 만들고, 피싱 공격을 실시합니다. 이 문서를 통해 이들은 두 가지 버전의 퍼트립니다. 제카팝(Zekapab)이라는 멀웨어 패밀리에 속한 것으로 정찰과 정보 수집을 목적으로 하는 멀웨어입니다.” 공격 문서의 settings.xml.rels라는 요소 안에 악성 매크로가 엠베드 되어 있다.

“공격은 표적형으로 이뤄지고 있습니다. 표적이 문서를 열고 악성 매크로를 활성화시키도록 유도하기 위해 공격자들은 엉망으로 뒤죽박죽 섞인 텍스트로 구성된 콘텐츠를 문서 안에 저장시켰습니다. 즉, 텍스트를 제대로 보려면 매크로를 활성화시켜야 한다는 것이죠.”

이 캠페인에 사용되는 악성 매크로 코드는 이전 다른 캠페인에서 사용되었던 것과 동일하다. “이번 봄에 보안 전문 회사인 이셋(ESET)이 발견한 캠페인으로, 두 개의 바이너리를 드롭시키는 기능을 가지고 있습니다. 두 개의 바이너리란, 제카팝 멀웨어의 델파이 버전과 닷넷 버전입니다. 시스템에서 수집한 정보를 C&C 서버로 보내는 것들이죠. 이 정보를 바탕으로 공격자들은 공격을 더 진행시킬 필요가 있는지 파악합니다. 그렇다고 판단이 된다면 자동실행 레지스트리 키를 사용해 두 번째 단계의 멀웨어를 심습니다.”

팬시 베어라는 위협 그룹은 2014년 처음 발견된 해킹 단체로, 그 동안 여러 가지 이름을 얻어 왔다. APT28, 세드닛(Sednit), 스트로니움(Stronium) 등이 대표적이다. 액센추어의 보안 전문가들은 스네이크맥크럴(SNAKEMACKEREL)이라고 부른다. “하지만 중요한 건 이름이 아니라, 이들이 매우 실력이 뛰어난 해커들로 구성된 집단이라는 것과 러시아 정부 및 군 기관과 연루되어 있다는 것입니다.”

“이번 악성 문건이 영국의 브렉시트 관련 총리 발표 타이밍과 정확히 일치하여 배포되기 시작했다는 건, 팬시 베어가 국제 관계와 각종 정치 소식에 민감하게 귀를 기울이고 있다는 뜻이 됩니다. 특히 사람들이 관심을 기울일만한 소식이 무엇인지 잘 골라낼 수 있는 능력도 갖추고 있습니다. 이런 걸 미리 예상하고 문건을 만들어두고, 시기적절하게 공격을 감행한 것은 꽤나 놀라운 일입니다.”

현재 마이크로소프트와 같은 여러 IT 기업들이 팬시 베어를 비롯한 여러 해킹 단체의 가짜뉴스 전파와 허위 정보 유포 등에 대처하기 위해 이들의 활동 기반이 되는 도메인을 압수하는 등 노력을 기울이고 있다. 액센추어는 “그럼에도 이들은 여전히 활발히 움직이고 있다”고 말한다. “이번에 발견된 캠페인이 그 증거입니다.”

팬시 베어는 최근에만 우주항공 산업과 국방 기관들, 군 관련 업체들과 정부 기관들, 국제올림픽위원회(IOC)와 반도핑기구, 정부 부처들 등을 공격해왔다.

3줄 요약
1. 브렉시트 관련 발표 타이밍에 딱 맞춰 피싱 문서 퍼트리는 팬시 베어.
2. 퍼지는 건 제카팝이라는 정찰 및 정보 수집 멀웨어.
3. 앞으로 브렉시트 소식 전파될 때도 피싱 공격 조심해야 할 듯.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>