2025년 1월 APT 그룹 동향 보고서
2025년 1월 보안 업체와 기관에서 공개된 분석 내용을 종합한 주요 APT 그룹의 사례는 다음과 같다.
1) Andariel
Andariel 그룹은 RID Hijacking 기법을 활용하여 계정 권한을 상승시키고 숨김 계정을 생성하는 공격을 수행했다.[1] RID Hijacking은 SAM(Security Account Manager) 데이터베이스를 조작해 낮은 권한의 계정 RID 값을 관리자 계정의 RID 값으로 변조하는 기법이다.
공격자는 PsExec를 이용해 원격 명령으로 악성 파일을 실행했으며, 숨김 속성의 계정을 만들어 Remote Desktop Users 및 Administrators 그룹에 추가했다. SAM 레지스트리 내 계정 관련 키의 특정 오프셋 값을 수정하여 RID를 변조했다.
Andariel 공격 그룹은 RID Hijacking 공격을 수행하기 위해 직접 제작한 악성 파일과 오픈소스 도구 CreateHiddenAccount를 이용했다. CreateHiddenAccount는 REGINI 프로그램을 사용해 SAM 레지스트리 접근 권한을 수정하며, 관리자 권한으로도 동작 가능하다.
RID Hijacking 이후 공격자는 계정 관련 레지스트리 키를 추출하고, 계정을 삭제한 뒤 추출한 REG 파일로 레지스트리를 재등록했다.
2) Callisto (Star Blizzard)
Callisto 그룹은 2024년 11월 중순, WhatsApp 계정을 대상으로 스피어 피싱 (Spear-Phishing) 공격을 수행했다.[2] Callisto 그룹이 공격에 WhatsApp을 처음으로 사용했다는 점에서 새롭지만, 기존의 스피어 피싱과 유사한 특징을 보였다. 이들은 정부 및 외교 관계자, 러시아 관련 방위정책 연구자, 그리고 우크라이나 지원 활동과 연관된 인물을 주요 타깃으로 삼았다.
공격은 미국 정부 관계자를 사칭한 이메일로 시작되었으며, 이메일에는 우크라이나 NGO 지원에 관한 WhatsApp 그룹 초대 QR 코드가 포함되어 있었다. 이들은 위조 QR 코드를 통해 타깃이 회신하도록 유도했다. 회신한 타깃에게는 가짜 WhatsApp 웹 포털 링크가 담긴 추가 이메일이 발송되었다. 실제로는 공격자가 메시지와 데이터를 탈취하는 데 이용되었다.
3) GamaCopy
GamaCopy 그룹은 Gamaredon 그룹을 모방해 러시아 국방 및 주요 기반 시설을 표적으로 지속적인 공격을 감행하고 있다.[3] 이들은 러시아 외무부 방위 정책 관련 문서와 러시아 주요 기업의 내부 명령서 등을 미끼로 사용했으며, 7z-SFX(Self-Extracting Program)을 이용해 악성 페이로드를 배포했다.
오픈소스 원격 데스크톱 도구인 UltraVNC를 이용해 추가 공격을 수행했으며, 프로세스명을 위장해 탐지를 피하려 했다.
GamaCopy 그룹은 Gamaredon 그룹의 공격 방식을 모방하면서도 몇 가지 차이점을 보인다. Gamaredon 그룹은 주로 매크로와 VBS 스크립트를 사용하는 반면, GamaCopy 그룹은 7Zip SFX 파일과 지연 변수(Obfuscated Delayed Variables)를 활용했다. 또한, Gamaredon 그룹은 포트 5612를 주로 사용하지만, GamaCopy 그룹은 포트 443을 이용했다. Gamaredon 그룹은 우크라이나어 문서를 미끼로 사용하는 반면, GamaCopy 그룹은 러시아어 문서를 활용했다.
GamaCopy 그룹은 Gamaredon 그룹의 공격 방식을 모방하면서도, 오픈소스 도구를 적극 활용해 분석을 어렵게 만들고 탐지를 회피하는 전략을 구사하고 있다. 이러한 방식은 정교한 위장 공격(False Flag) 사례로 평가되며, 일부 보안 업체들은 해당 공격을 Gamaredon 그룹의 소행으로 잘못 판단하기도 했다.
[1] https://asec.ahnlab.com/ko/85920/
[2] https://www.microsoft.com/en-us/security/blog/2025/01/16/new-star-blizzard-spear-phishing-campaign-targets-whatsapp-accounts/
[3] https://medium.com/@knownsec404team/love-and-hate-under-war-the-gamacopy-organization-which-imitates-the-russian-gamaredon-uses-560ba5e633fa
