BEARDSHELL 악성코드
우크라이나 컴퓨터 비상 대응팀(CERT-UA)은 러시아와 연계된 위협 그룹인 APT28(UAC-0001로도 알려짐)이 주도하는 새로운 사이버 공격 캠페인에 대해 경고했습니다. 이 작전은 Signal 채팅 메시지를 사용하여 BEARDSHELL과 COVENANT로 추적되는 두 가지 새로운 악성코드 유형을 유포하며, 이는 해당 그룹의 전술에 있어 주목할 만한 진화를 보여줍니다.
목차
BEARDSHELL과 SLIMAGENT: 위험한 듀오
C++로 개발된 BEARDSHELL은 2024년 3월과 4월 사이에 처음 발견되었으며, SLIMAGENT라는 스크린샷 캡처 도구와 함께 Windows 시스템에 배포되었습니다. BEARDSHELL의 기능에는 PowerShell 스크립트를 실행하고 Icedrive API를 사용하여 결과 출력을 원격 서버에 업로드하는 기능이 포함됩니다.
최초 탐지 당시 CERT-UA는 악성코드가 시스템에 어떻게 침투했는지 명확히 밝히지 못했습니다. 그러나 'gov.ua' 이메일 계정에 대한 무단 접근을 통해 촉발된 최근 조사 결과를 통해 2024년 사건에 사용된 초기 공격 벡터가 밝혀졌습니다. 이 심층 조사를 통해 BEARDSHELL과 COVENANT라는 악성코드 프레임워크가 모두 배포되었음을 확인했습니다.
감염 체인: 매크로가 포함된 문서 및 DLL 페이로드
공격은 'Акт.doc'라는 악성 Microsoft Word 문서가 포함된 Signal 메시지로 시작됩니다. 이 문서에는 내장된 매크로가 포함되어 있으며, 이 매크로가 활성화되면 두 가지 구성 요소가 실행됩니다.
- 악성 DLL: ctec.dll
- 위장된 PNG 이미지: windows.png
그런 다음 매크로는 Windows 레지스트리를 변경하여 explorer.exe가 다음에 실행될 때 DLL이 실행되도록 합니다. 이 DLL은 PNG 이미지에 숨겨진 셸코드를 읽고 메모리에 상주하는 COVENANT 맬웨어 프레임워크를 트리거합니다.
COVENANT는 활성화 후 두 개의 중간 페이로드를 다운로드하고 실행하여 궁극적으로 BEARDSHELL 백도어를 설치하고 감염된 시스템에 대한 지속적인 제어권을 얻습니다.
COVENANT: 정교한 맬웨어 프레임워크의 실제 활용
COVENANT 프레임워크는 이 작전에서 핵심적인 역할을 하며, 추가 맬웨어의 실행 허브 역할을 합니다. 모듈형 설계 덕분에 페이로드를 유연하게 배포할 수 있으며, 이 경우 BEARDSHELL 실행으로 직접 연결됩니다. 이 메모리 상주 프레임워크는 기존의 탐지 메커니즘을 우회하기 때문에 특히 표적 환경에서는 매우 위험합니다.
모니터링 및 완화 권장 사항
이 캠페인에 대한 노출을 줄이기 위해 CERT-UA는 정부 및 기업 네트워크에 다음 도메인과 관련된 트래픽을 모니터링할 것을 권고합니다.
- 앱.쿠프르넷
- api.icedrive.net
이러한 도메인으로의 아웃바운드 연결에 대해 경계하는 것은 조기에 침해 징후를 감지하는 데 도움이 될 수 있습니다.
결론: 지속적이고 진화하는 위협
APT28은 Signal과 같은 최신 메시징 플랫폼을 통합하고 기존 시스템의 취약점과 결합하여 공격 기법을 지속적으로 개선하고 있습니다. 새롭게 개발된 악성코드와 알려진 익스플로잇을 모두 활용하는 이러한 이중적인 접근 방식은 APT28의 끈질긴 활동과 다층적인 사이버 보안 방어의 중요성을 강조합니다. 특히 정부 기관을 비롯한 조직은 경계를 늦추지 않고 네트워크 트래픽을 적극적으로 모니터링하여 침해 징후를 조기에 발견해야 합니다.
