러시아어를 사용하는 블랙에너지(BlackEnergy) APT 그룹이 전개하는 새로운 공격의 징후가 나타났다.

1일 카스퍼스키랩 전문가들이 발견한 스피어 피싱 문서에는 우크라이나 극우 민족주의자 정당인 ‘라이트 섹터(Right Sector)’가 언급돼 있었고, 이 문서를 통해 우크라이나의 인기 TV 채널에 대한 공격을 이행한 것으로 보인다.

‘블랙에너지’는 매우 활동적인 공격 단체이며 최근 우크라이나에서 발생한 공격을 미뤄 파괴적인 행동과 산업 제어 시설 공격, 사이버 스파이 활동이 주된 목적일 것이라고 카스퍼스키랩은 전했다.

처음에는 DDoS 공격 위주였던 블랙에너지 공격 도구는 대규모 도구의 집합체로 변모, 다양한 APT 유형의 공격에 사용됐으며, 2015년 말에 우크라이나의 몇몇 중요 기관에 연속적으로 발생한 공격과 같이 지정학적 공격에도 사용됐다.

카스퍼스키랩은 앞서 블랙에너지 공격 그룹은 이미 수차례 탐지됐지만, 블랙에너지는 그 활동을 멈추지 않고 있으며 커다란 위협이 되고 있다.

2015년 중반부터 블랙에너지 APT 그룹은 표적 네트워크의 컴퓨터를 감염시키는 매크로가 포함된 악성 액셀(Excel) 문서가 첨부된 스피어 피싱 이메일을 적극적으로 활용해 왔다.

그러나 올해 1월 카스퍼스키랩에서는 시스템에 블랙에너지 트로이목마를 감염시키는 새로운 악성 문서를 발견하게 된 것.

이전 공격에서는 액셀 문서가 사용됐던 것과 달리 이번에 발견된 문서는 마이크로소프트 워드 문서였다.

문서를 열면 매크로를 활성화해야 내용을 볼 수 있다는 메시지가 나타난다. 이 매크로를 활성화하면 블랙에너지 악성 코드 감염이 시작된다.<그림 ‘블랙에너지 공격 악성코드에 감염된 화면’ 참조>

▲ 그림 ‘블랙에너지 공격 악성코드에 감염된 화면’

피해자의 컴퓨터에서 악성 코드가 활성화되면 공격자의 C&C 서버로 감염된 컴퓨터의 기본적인 정보가 전송된다.

악성 코드에서 전송된 C&C 연결 중 하나에서 피해자 ID를 언급하는 것으로 보이는 스트링이 포함돼 있다.

아울러 카스퍼스키랩 연구진이 분석한 문서에는 ID ‘301018stb’가 발견됐다.

여기서 ‘stb’는 우크라이나 방송국 ‘STB’를 의미하는 것으로 카스퍼스키랩은 추측했다. 이 방송국은 이미 2015년 10월에 블랙에너지 와이퍼(BlackEnergy Wiper) 공격의 피해를 받은 바 있다.

감염된 후에는 다른 악성 모듈이 다운로드 될 수 있다. 사용된 트로이목마의 버전에 따라 사이버 스파이 활동부터 데이터 삭제까지 다양한 기능이 구현된다.

카스퍼스키랩 글로벌 위협 정보 분석팀(Global Research and Analysis Team) 코스틴 라이우(Costin Raiu) 이사는 “이전에는 블랙에너지 그룹이 액셀과 파워포인트 문서를 사용, 우크라이나의 여러 기관을 노렸었지만, 이제는 매크로가 포함된 워드 문서를 사용하는 경향이 APT 공격에서 더욱 늘어나고 있다. 그 예로 최근의 Turla APT 그룹이 매크로가 포함된 문서를 사용, 유사한 공격을 실행한 사례가 관찰됐다. 이처럼 유사한 공격이 여러 차례 성공을 거두면서 워드 등 오피스 문서를 사용한 매크로 공격이 더 성행할 것으로 예상된다”고 말했다.

이미 2014년부터 블랙에너지 APT 그룹을 주목한 카스퍼스키랩은 당시 블랙에너지 APT룹이 전 세계의 ICS 및 에너지 관련 시설 표적을 대상으로 SCADA 관련 플러그인을 배포하고 있었다고 덧붙였다.

따라서, 카스퍼스키랩은 이 그룹이 ▲우크라이나 산업제어시스템(ICS), 에너지 및 미디어 회사 ▲전 세계 산업제어시스템(ICS)/SCADA 회사 ▲전 세계 에너지 회사 등 부문에 특화돼 있다는 결론을 내렸다고 밝혔다.

카스퍼스키랩은 블랙에너지 관련 DDoS 공격과 여기에서 파생된 파괴 기능, 지멘스(Siemens) 장비의 취약점 악용 그리고 라우터 공격 플러그인에 대해 보고한 바 있다.

한편 카스퍼스키랩의 모든 제품은 블랙에너지 그룹에서 사용하는 악성 코드를 ‘Backdoor.Win32.Fonten.* 및 HEUR:Trojan-Downloader.Script.Generic’이라는 진단명으로 탐지하고 있다.

블랙에너지 APT 및 확장된 IOC에 대한 자세한 정보는 카스퍼스키 인텔리전스 서비스 고객에게 제공된다.

자세한 내용은 intelreports@kaspersky.com으로 문의하면 된다.

<김동기 기자>kdk@bikorea.net