‘노동 소송’ 위장 고도 은닉술 구사
피싱 메일로 수신자 압박

[보안뉴스 김형근 기자] 남미 기반 위협 그룹 블라인드이글(BlindEagle)이 콜롬비아 상공관광부(MCIT) 산하 기관 등 정부 기구를 대상으로 고도의 정밀 공격을 수행했다.

이들은 콜롬비아 사법 체계를 사칭해 ‘노동 소송 통지서를 확인하라’는 등 정교한 내용의 피싱 이메일을 발송해 수신자를 압박했다.


[자료: 지스케일러]

특히 이번 공격은 조직 내부의 이미 해킹된 계정을 이용해 발송됐다. 외부 위협 차단 시스템을 우회하고 수신자의 신뢰를 얻기 위한 전략이다.

이메일에 첨부된 SVG 이미지 파일은 가짜 사법 포털로 연결되는 인코딩된 HTML을 포함하고 있으며, 사용자가 이를 클릭하면 복잡한 공격 사슬이 시작된다.

공격 과정은 세 개의 자바스크립트 파일과 파워셸 명령어로 구성되며, 각 단계마다 다음 단계를 복호화 하는 방식으로 보안 탐지를 피했다.

주목할 점은 이미지 파일 안에 악성 코드를 숨기는 스테가노그래피 기법과 인터넷 아카이브 같은 정상 서비스를 악용했다는 점이다.

파워셸 스크립트는 이미지에서 추출한 페이로드를 하드디스크에 저장하지 않고 메모리에서 직접 실행하는 파일리스(File-less) 방식을 사용해 탐지를 어렵게 만들었다.

이후 포르투갈어로 제작된 카미뉴(Caminho) 다운로더를 통해 최종적으로 DCRAT이라는 악성코드를 디스코드 서버로부터 내려받아 설치했다.

DCRAT은 마이크로소프트의 맬웨어 방지 스캔 인터페이스(AMSI)를 무력화하는 기능을 갖추고 있어, 백신 시스템이 악성 동작을 감지하지 못하도록 방해한다.

결국 해커는 예약된 작업과 레지스트리 수정을 통해 정부 인프라에 대한 장기적인 접근 권한을 얻게 된다.

이번 캠페인은 블라인드이글이 단순한 악성코드 유포자를 넘어 사회공학적 기법과 고도의 기술적 숙련도를 결합한 위협적 조직으로 성장했음을 보여준다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>