[이미지 = iclickart]

가마레돈은 최소 2013년 중반부부터 활동해온 단체로 프리미티브 베어(Primitive Bear)라고도 불리며, 이들에 대한 상세 보고서가 나온 건 2015년 4월이 처음이다. 처음 발견된 때부터 지금까지 우크라이나 정부와 관련이 있는 개인이나 조직만을 노려왔다.

지난 10월 중순에도 가마레돈 해커들은 우크라이나의 다양한 인사들과 조직들을 공격했다. 외교관, 정부 요원, 공무원, 기자, 사법 기관 요원, 군 관계자 및 요원, NGO 단체, 우크라이나 외무부가 당했다. 이 기관 혹은 인물들에게는 피싱 공격용 문서가 날아들었다. 이 문건을 분석했을 때 공격이 시작된 건 9월 경으로 나타났고 11월 25일까지 지속된 것으로 보인다.

악성 문건은 크게 세 가지로 나뉜다고 한다.
1) 드니프로 컨트롤 시스템(Dnipro Control System)으로 발송된, 군 관련 문서.
2) 디텍터 미디어(Detector Media)라는 NGO 단체가 보낸 것처럼 위장된 문서.
3) 우크라이나 외무부를 겨냥한 스피어피싱 문서.

이 문서들 중 초반에 발견된 것들은 피해자의 컴퓨터에서 실행될 때 원격 서버로 연결이 되면서 문서 템플릿을 다운로드 받는다. 이 템플릿은 악성 VBA 매크로를 포함하고 있는 것으로, 배경에서 실행되며 VB스크립트 파일을 ‘시작 프로그램’ 폴더에 생성한다. 시스템이 리부트 되면 이 스크립트가 HTTP GET 요청을 실행해 한 동적 DNS 도메인으로부터 암호화 된 페이로드를 가져온다.

이 페이로드 역시 ‘시작 프로그램’ 폴더에 저장된다. 그렇기 때문에 시스템 리부트 상황에서도 페이로드가 계속해서 실행된다. 하지만 아직까지 이 두 번째 페이로드가 하는 일이 아직까지 명확히 밝혀지지 않고 있다고 한다.

“현재까지 밝혀진 바 이번 캠페인의 표적이나 전략 등 여러 가지 모습들이 러시아의 해킹 그룹인 가마레돈의 그것과 상당히 겹칩니다. 지난 수년 동안 가마레돈에 대한 연구와 조사는 수없이 이뤄졌고, 따라서 보안 업계는 그들에 대해 잘 안다고 할 수 있습니다. 이번 캠페인은 보안 업계가 잘 알고 있는 가마레돈의 전형적인 모습을 그대로 가지고 있으며, 따라서 러시아가 배후에 있다고 거의 확신할 수 있습니다.”

하지만 100% 확신에 이르지는 못한다. “가마레돈에 대해 잘 알고 있다는 건, 공격자들이 가마레돈을 잘 흉내 낼 수도 있다는 뜻입니다. 요즘 APT 단체들은 추적을 따돌리고 분석되는 걸 피하기 위해 다른 나라 APT 그룹의 방식을 활용하는 경우가 많거든요. 이번 가마레돈의 캠페인도 그런 가능성을 가지고 있긴 합니다.”

3줄 요약

1. 러시아의 APT 단체인 가마레돈, 다시 한 번 우크라이나 노리기 시작.

2. 우크라이나 정부, 외교, 군 관련 기관을 노리며 다단계로 시스템 감염시킴.

3. 물론 가마레돈을 똑같이 흉내 낸 다른 공격 단체일 가능성도 있음. 

[국제부 문가용 기자(globoan@boannews.com)]
[출처 : 보안뉴스(www.boannews.com), https://www.boannews.com/media/view.asp?idx=85060&page=3&mkind=1&kind=1]​