본문 바로가기
카테고리 없음

러시아 해커, 새로운 Outlook 악성코드 'NotDoor' 배포

by Daniel_Kevin 2025. 9. 13.
반응형

사이버보안 연구원들은 러시아 국가가 지원하는 해킹 그룹 APT28(Fancy Bear로도 알려짐)과 연관된 새로운 사이버 간첩 도구인 NotDoor를 발견했습니다. NotDoor는 NATO 국가 전역의 Microsoft Outlook 사용자를 표적으로 삼습니다.

 

스페인 사이버 보안 회사 S2 Grupo의 위협 인텔리전스 부서인 LAB52가 발견한 이 맬웨어는 Outlook을 은밀한 스파이 도구로 바꾸어 공격자가 Outlook의 내장된 자동화 기능을 악용하여 데이터를 훔치고, 파일을 업로드하고, 감염된 컴퓨터에서 명령을 실행할 수 있도록 합니다.

 

공격 작동 방식

연구원들은 이 악성코드가 NotDoor라는 이름을 가진 이유는 코드에서 "nothing"이라는 용어를 반복적으로 사용하기 때문이라고 설명했습니다. 이 악성코드는 Microsoft Office에서 사용하는 스크립팅 언어인 VBA(Visual Basic for Applications)로 작성된 은밀한 악성코드입니다.

 

일단 설치되면 악성 매크로로 잠복하다가 "일일 보고서" 와 같은 특정 트리거 문구가 포함된 이메일이 도착하면 활성화됩니다. 이메일이 도착하면 악성코드가 활성화되어 해커가 피해자의 시스템을 은밀하게 장악하게 됩니다.

 

이 악성코드는 Outlook의 이벤트 기반 VBA 트리거(예: Application_MAPILogonComplete (Outlook 시작 시) 및 Application_NewMailEx (새 이메일 도착 시))를 악용하여 페이로드를 활성화합니다. 또한 악성코드를 유발한 트리거 이메일을 삭제하여 감염이 어떻게 시작되었는지에 대한 흔적을 거의 남기지 않습니다.

 

LAB52 연구원들은 블로그 게시물에서 "이 [사례]는 APT28의 지속적인 진화를 강조하며, 기존 방어 메커니즘을 우회할 수 있는 새로운 아티팩트를 지속적으로 생성하는 방식을 보여줍니다."라고 적었습니다.

 

300x250

 

정교한 스텔스 전략

연구자들에 따르면 NotDoor는 감지를 피하기 위해 다양한 고급 기술을 사용합니다.

  • 난독화된 코드: 코드가 암호화되어 인코딩되어 보안 도구로 분석하기 어렵습니다.
  • DLL 사이드 로딩: 신뢰할 수 있는 프로세스로 위장하여 악성 DLL( SSPICLI.dll )을 로드하는 합법적인 Microsoft 파일인 OneDrive.exe를 납치합니다.
  • 레지스트리 수정: Outlook 설정을 조정하여 매크로에 대한 보안 경고를 비활성화하고 대화 상자 메시지를 억제하여 사용자에게 알리지 않고도 맬웨어가 실행될 수 있도록 합니다.

악성코드는 활성화되면 훔친 임시 파일을 숨겨진 디렉터리에 저장한 후, 공격자가 제어하는 ​​이메일 주소( a.matti444@proton[.]me )로 비밀리에 이메일을 발송한 후 모든 흔적을 삭제합니다. 악성코드는 webhook.site 로 DNS 및 HTTP 콜백을 전송하여 실행 성공을 확인합니다.

 

그 뒤에는 누가 있을까?

APT28은 세계에서 가장 악명 높은 해킹 그룹 중 하나로, 러시아 군 정보기관(GRU) 소속으로 널리 알려져 있습니다. APT28은 2016년 민주당 전국위원회(DNC) 해킹과 세계반도핑기구(WADA) 침투 등 지난 10년간 언론의 주목을 받은 해킹 사건들의 중심에 있었습니다.

 

LAB52 연구원들은 NotDoor가 "APT28의 지속적인 진화를 보여주며, 기존 방어 메커니즘을 우회할 수 있는 새로운 아티팩트를 지속적으로 생성하는 방식을 보여준다"고 덧붙였다.

 

보호를 유지하는 방법

감염 위험을 줄이기 위해 전문가들은 조직이 다음과 같은 긴급 조치를 취할 것을 권장합니다.

  • 모든 시스템에서 기본적으로 매크로를 비활성화합니다.
  • 특히 레지스트리 변경과 같은 비정상적인 동작이 있는지 Outlook을 주의 깊게 살펴보세요.
  • 신뢰할 수 있는 프로그램에서 의심스러운 DLL 파일이 로드되는 것을 차단합니다.
  • Microsoft Office와 Windows가 항상 최신 상태인지 확인하세요.
  • 의심스러운 이메일을 트리거로 사용할 수 있도록 직원을 교육합니다.

NotDoor가 NATO 회원국의 다양한 산업 분야에 걸쳐 기업을 적극적으로 표적으로 삼고 있다는 사실은 Outlook과 같은 신뢰할 수 있는 직장 도구조차도 아무도 예상하지 못한 방식으로 무기화될 수 있음을 보여줍니다.

 

*참고한 원본 글: https://www.techworm.net/2025/09/russian-hackers-deploy-new-outlook-malware-notdoor.html

반응형
그리드형
저작자표시 비영리 변경금지 (새창열림)

댓글

티스토리툴바