러 해커, 변종 백도어로 우크라이나 공격
상태바
러 해커, 변종 백도어로 우크라이나 공격
  • 곽중희 기자
  • 승인 2022.04.21 15:21
  • 댓글 0
이 기사를 공유합니다

러시아 APT 조직 Gamaredon, 변종 Pterodo 백도어로 스피싱 메시지 배포

러시아 APT 해커 조직 Gamaredon가 맞춤형 Pterodo 백도어의 새로운 변종을 통해 우크라이나를 공격하고 있다.

시만텍 연구원들에 따르면, Gamaredon는 최근 공격에서 Pteredo 백도어의 변종을 최소 4개 이상 사용하고 있는 것으로 파악됐다.

Pteredo은 민감한 정보를 수집하거나 손상된 시스템에 대한 접근을 유지하도록 설계된 다단계 백도어로, 표적 유인을 위해 설계된 문서와 함께 스피어 피싱 메시지를 통해 배포된다.

또한 이 백도어는 대상 시스템에 여러 멀웨어 페이로드를 배포하는 특성을 가지고 있다. 해커가 전달하는 페이로드는 일반적으로 유사한 작업을 수행하도록 설계된 Pterodo의 다른 변종이다. 연구원들은 Pterodo 변종이 서로 다른 명령 및 제어(C&C) 서버와 통신할 것이라고 지적했다.

시만텍은 연구원은 이번 백도어에 대해 “여러 변종을 사용하는 이유는 감염된 컴퓨터에서 지속성을 유지하는 기본적인 방법을 제공하기 때문이다. 하나의 페이로드 또는 C&C 서버가 감지되고 차단되면 공격자는 다른 서버 중 하나로 폴백하고 이를 보완하기 위해 더 많은 새로운 변종을 만들 수 있다”라고 분석했다. 

공격에 사용된 Pterodo 변종은 수정된 자동 압축 풀기 아카이브로, 드롭퍼 역할을 하는 난독화된 VBScript를 포함했다. 백도어는 C&C 서버에서 추가 페이로드를 다운로드하기 전에 예약된 작업을 추가하여 지속성을 달성한다.

전문가들이 분석한 Pterodo 백도어의 종류는 다음과 같다.

▲Backdoor.Pterodo.B: 7-Zip으로 압축을 풀 수 있는 리소스에 난독화된 VBScript를 포함하는 수정된 자동 압축 풀림 아카이브다.

▲Backdoor.Pterodo.C: 감염된 컴퓨터에 VBScript를 삭제하도록 설계됐다. 실행되면 먼저 API 해머링에 참여해 여러 API 호출을 수행한다.

▲Backdoor.Pterodo.D: 일종의 VBScript 드로퍼

▲Backdoor.Pterodo.E: 최종 변종은 기능적으로 변종 B 및 C와 매우 유사하며 두 개의 VBScript 파일을 사용자의 홈 디렉토리로 추출하기 전에 API 해머링에 참여한다. 스크립트 난독화는 다른 변형과 매우 유사하다.

한편, Gamaredon은 최소 2014년부터 우크라이나에 대한 사이버 스파이 활동을 시작한 것으로 알려졌다.

 

*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.