해커들, 가짜 와인 이벤트 초대장으로 EU 외교관들을 표적으로 삼아

러시아 해커들이 EU 공무원으로 위장하여 가짜 와인 초대장으로 외교관들을 유혹하였고, 이를 통해 은밀한 악성소프트웨어 GRAPELOADER를 배포하면서 변화하는 스피너지 캠페인을 전개하였습니다.

사이버 보안 연구원들은 러시아와 연관된 해킹 그룹 APT29, 또는 Cozy Bear가 진행한 새로운 파이싱 공격의 파도를 발견했습니다. Check Point에서 지적한 이번 캠페인은 가짜 외교관 와인 시음 행사 초대장으로 유럽 외교관들을 속이는 방식으로 진행됩니다.

조사 결과, 공격자들이 유럽 외교부처럼 가장하여 외교관들에게 공식적으로 보이는 초대장을 이메일로 보냈다는 것이 밝혀졌습니다. 이메일에는 클릭하면 wine.zip라는 파일에 숨겨진 악성 소프트웨어가 다운로드되는 링크가 포함되어 있었습니다.

이 파일은 GRAPELOADER라는 새로운 도구를 설치해 공격자가 피해자의 컴퓨터에 침투하게 합니다. GRAPELOADER는 시스템 정보를 수집하고, 추가 명령을 위한 백도어를 설정하며, 재시작 후에도 악성 소프트웨어가 기기에 남아있게 합니다.

“연구원들은 “GRAPELOADER는 WINELOADER의 반분석 기법을 개선하면서 더욱 고급 은닉 방법을 도입하고 있다”라고 지적했습니다. 이번 캠페인에서는 이전 APT29 공격에서 알려진 백도어인 WINELOADER의 새로운 버전도 사용하며, 이는 후기 단계에서 사용될 가능성이 높습니다.

사기 이메일은 실제 행정부 공무원을 사칭한 도메인에서 발송되었습니다. 이메일에 있는 링크가 표적을 속이지 못하면 후속 이메일을 보내서 다시 시도했습니다. 경우에 따라서는 링크를 클릭하면 사용자를 실제 행정부 웹사이트로 리디렉션하여 의심을 피했습니다.

이 감염 과정은 “DLL 사이드 로딩”이라는 방법을 사용하여 숨겨진 코드를 실행하기 위해 합법적인 파워포인트 파일을 사용합니다. 그런 다음, 악성 소프트웨어는 자신을 숨겨진 폴더에 복사하고, 시스템 설정을 변경하여 자동으로 실행되도록 하며, 추가 지시를 기다리기 위해 매 분마다 원격 서버에 연결합니다.

공격자들은 숨겨진 상태를 유지하기 위해 많은 노력을 기울였습니다. GRAPELOADER는 복잡한 기술을 사용하여 코드를 섞으며, 자신의 흔적을 지우고, 보안 소프트웨어의 탐지를 피합니다. 이러한 방법들은 분석가들이 악성 소프트웨어를 분해하고 연구하는 것을 더 어렵게 만듭니다.

이 캠페인은 APT29가 계속해서 전략을 발전시켜, 창의적이고 기만적인 전략을 사용하여 유럽 전역의 정부 대상을 감시하고 있다는 것을 보여줍니다.