글로벌 - 이크바리 뉴스 통신사
러시아 국영 해커, 긴급 마이크로소프트 오피스 패치 악용하여 글로벌 기관 침해
국가 지원 사이버 전쟁의 가속화되는 속도와 정교함을 극명하게 보여주는 사례로, APT28 또는 팬시 베어(Fancy Bear)로 널리 알려진 악명 높은 러시아 지원 해킹 그룹이 치명적인 마이크로소프트 오피스 취약점을 악용하는 데 시간을 낭비하지 않았습니다. 지난달 마이크로소프트가 긴급하고 예정에 없던 보안 업데이트를 발표한 지 48시간도 채 되지 않아, 위협 행위자들은 CVE-2026-21509로 식별된 이 취약점을 무기화하여 고도로 표적화된 캠페인을 시작했습니다. 이 대담한 작전은 주로 동유럽의 최소 9개국에 걸쳐 외교, 해양 및 운송 기관 내부의 장치를 성공적으로 침해하여, 방어자들이 중요한 시스템을 패치할 수 있는 시간이 줄어들고 있음을 강조했습니다.
트렐릭스(Trellix)의 보안 연구원들은 이 신속한 악용의 세부 사항을 공개하며, 그룹이 이틀 이내에 마이크로소프트의 패치를 역공학하고 고급 익스플로잇을 개발하는 능력을 강조했습니다. 이 익스플로잇들은 BeardShell과 NotDoor라고 명명된 두 가지 새로운, 이전에 본 적 없는 백도어 임플란트를 설치했습니다. 전체 캠페인은 은밀함을 위해 세심하게 설계되었으며, 기존의 엔드포인트 보호 조치로는 침해를 사실상 탐지할 수 없게 만드는 기술을 사용했습니다. 여기에는 익스플로잇과 페이로드를 암호화하고, 메모리에서만 실행하며, 명령 및 제어를 위해 겉보기에 합법적인 채널을 활용하는 것이 포함되어, 그들의 악의적인 의도를 파악하기가 극히 어렵게 만들었습니다.
Read Also
이 정교한 침입의 초기 벡터는 종종 다양한 국가에서 이전에 침해된 정부 계정에서 비롯되었으며, 이는 공격자들이 대상 이메일 수신자에게 익숙했을 가능성이 있는 기존 침해 또는 자격 증명을 악용했음을 시사합니다. 또한, 명령 및 제어 인프라는 민감한 네트워크 내에서 일반적으로 허용 목록에 있는 합법적인 클라우드 서비스 내에서 호스팅되어, 악성 트래픽이 일반 네트워크 활동과 원활하게 혼합될 수 있도록 했습니다. 트렐릭스 연구원들이 지적했듯이, 신뢰할 수 있는 채널의 이러한 전략적 선택은 파일리스 기술과 결합되어 공격자들이 “눈에 띄지 않게 숨을” 수 있도록 했습니다.
72시간 동안 진행된 스피어 피싱 캠페인은 1월 28일에 시작되어, 주로 동유럽의 9개국 조직에 최소 29개의 개별 이메일 유인책을 전달했습니다. 트렐릭스는 폴란드, 슬로베니아, 튀르키예, 그리스, UAE, 우크라이나, 루마니아, 볼리비아 등 8개국을 지목했습니다. 주요 표적은 국방부(공격의 40%), 운송 및 물류 운영자(35%), 외교 기관(25%)이었습니다. 이러한 표적 프로필은 APT28과 같은 국가 연계 행위자와 자주 연관되는 지정학적 목표와 완벽하게 일치하며, 이들은 국가 안보 및 국제 관계에 중요한 기관에 대해 사이버 스파이 활동을 빈번하게 수행합니다.
감염 사슬의 성공으로 BeardShell 또는 NotDoor가 배포되었습니다. 강력한 백도어인 BeardShell은 공격자에게 광범위한 시스템 정찰 기능, Windows svchost.exe에 프로세스를 주입하여 지속성 유지, 그리고 감염된 네트워크 내의 다른 시스템으로 측면 이동을 위한 중요한 발판을 제공했습니다. 그 실행은 동적으로 로드된 .NET 어셈블리에 의존했는데, 이는 디스크에 최소한의 포렌식 아티팩트만 남기도록 설계된 기술로, 보안 팀의 탐지 및 분석을 더욱 복잡하게 만들었습니다. 이러한 메모리 내 작업은 기존 보안 도구를 회피하려는 고급 지속 위협(APT)의 특징입니다.
두 번째 백도어인 NotDoor는 VBA 매크로 형태로 나타났습니다. 이 매크로는 익스플로잇 체인이 Outlook의 매크로 보안 제어를 성공적으로 비활성화한 후에만 설치되었습니다. 이는 공격자들이 이메일 클라이언트 취약점에 대한 깊은 이해를 보여주는 중요한 단계입니다. 일단 활성화되면 NotDoor는 받은 편지함, 초안, 정크 메일, RSS 피드 등 이메일 폴더를 면밀히 모니터링했습니다. 그런 다음 메시지를 Windows .msg 파일로 묶어 클라우드 서비스 filen.io에 설정된 공격자 제어 계정으로 보냈습니다. 기밀 케이블 및 기타 민감한 문서에 대한 접근을 제한하도록 설계된 고권한 계정의 보안 제어를 무력화하기 위해 매크로는 사용자 지정 “AlreadyForwarded” 속성을 사용하여 이메일을 처리하고 “DeleteAfterSubmit”을 true로 설정하여 전달된 메시지를 보낸 편지함 폴더에서 제거했습니다.
트렐릭스는 기술적 지표와 관찰된 특정 표적화 패턴의 종합적인 분석을 바탕으로 이 캠페인이 APT28의 소행이라고 “높은 확신”을 가지고 판단했습니다. 이러한 귀속은 우크라이나 CERT-UA에 의해 추가로 확인되었는데, CERT-UA는 이 공격을 APT28과 일치하는 또 다른 추적 이름인 UAC-0001과 독립적으로 연결했습니다. 팬시 베어(Fancy Bear), 세드닛(Sednit), 포레스트 블리자드(Forest Blizzard), 소파시(Sofacy)라고도 알려진 APT28은 러시아 국가 이익과 자주 연계된 사이버 스파이 및 영향력 작전의 오랜 기록을 가지고 있습니다. 그들의 작동 방식은 일반적으로 정교한 다단계 악성코드, 광범위한 난독화, 합법적인 클라우드 서비스 남용, 그리고 목표 달성을 위한 이메일 시스템의 지속적인 표적화를 포함합니다.
Related News
이 캠페인에서 사용된 기술력, 즉 제로데이(또는 거의 제로데이) 취약점을 신속하게 무기화하고, 새로운 임플란트를 사용하며, 파일리스 실행 및 신뢰할 수 있는 채널을 악용하는 것은 고도로 자원화되고 진보된 적의 능력을 반영합니다. 이 사건은 전 세계 조직에게 시기적절한 패치를 우선시하고, 메모리 내 및 파일리스 공격을 식별하기 위한 위협 탐지 능력을 향상시키며, 정교한 스피어 피싱 시도에 대한 방어를 강화할 것을 상기시키는 중요한 경고입니다. 트렐릭스와 같은 사이버 보안 회사들은 이 지속적이고 진화하는 적의 잠재적 위협을 식별하고 완화하는 데 조직을 돕기 위해 지속적으로 업데이트된 침해 지표(IOC)를 제공하고 있습니다.
