[디지털데일리 김보민기자] 유럽 외교관을 대상으로 한 피싱 공격이 고도화됐다는 조사 결과가 나왔다. 공격자는 유럽 외교부를 사칭해 가짜 외교 행사 초청장을 보내고, 악성코드를 배포한 것으로 확인됐다.

20일 체크포인트리서치에 따르면 러시아와 연계된 위협그룹 APT29는 유럽 전역 외교 기관을 표적으로 피싱 캠페인을 진행했다. APT29는 '미드나이트 블리자드' 혹은 '코지 베어'라고 불리는 그룹으로, 정부 기관과 싱크탱크 등 기관을 겨냥하고 있는 것으로 알려졌다. 2020년 정보기술(IT) 네트워크 관리업체 솔라윈즈를 침투한 해킹 그룹으로도 이름을 알린 바 있다.

이 그룹은 최근 유럽 외교부를 사칭해 와인 시음회 초대장을 발송했다. 이메일 제목은 '와인 이벤트', '와인 테스트 이벤트', '와인 시음회(날짜)', '외교 만찬' 등으로 다양했다.

이후 공격자는 사용자가 '그레이프로더(GRAPELOADER)'라는 신규 백도어를 설치하도록 유도하는 웹링크를 전송했다. 링크를 호스팅하는 서버는 스캐닝 및 자동 분석 솔루션으로부터 보호되고 있었다. 피싱 이메일 링크를 누르면 가짜 외교부 공식 웹사이트로 연결되기도 했다.

그레이프로더는 감염된 호스트의 기본 정보를 수집할 수 있고, 수집된 데이터는 명령제어(C2) 서버로 전송된 것으로 확인됐다. 체크포인트리서치는 "멀웨어는 'wine.zip' 아카이브 내용을 디스크 새 위치로 복사하고, 윈도 레지스트리의 런 키를 수정해 'wine.exe' 시스템이 재부팅될 때마다 자동 실행되도록 작동했다"고 설명했다.

체크포인트리서치는 공격 그룹이 '와인로더(WINELOADER)'라는 백도어를 활용한 이전 캠페인의 연장선도 확인했다고 부연했다. 와인로더 변종은 공격 후기 단계에서 사용된 모듈식 백도어인데, 코드 구조와 난독화 및 문자열 복호화 측면에서 그레이프로더와 유사점을 갖고 있다. 그레이프로더는 와인로더의 분석 방지 기술을 개선해 은밀한 공격이 가능하도록 진화한 형태다.