러시아 연계 TAG-110, 매크로 활성화 Word 문서로 타지키스탄 표적 공격

참고: 이 보고서의 분석 마감일은 2025년 3월 24일이었습니다.

Executive Summary

2025년 1월부터 2월까지, Insikt Group은 타지키스탄을 겨냥한 피싱 캠페인을 탐지했으며, 이 캠페인은 러시아와 연계된 위협 행위자인 TAG-110에 의해 수행된 것으로 판단하고 있습니다. 이는 UAC-0063과 겹치며 CERT-UA에 의해 중간 정도의 신뢰도로 APT28(BlueDelta)과 연관된 것으로 보고되었습니다. 이 캠페인에서 TAG-110은 타지키스탄 정부를 주제로 한 문서를 미끼 자료로 활용했으며, 이는 과거에 트로이목마화된 합법적인 정부 문서를 사용했던 것과 일치합니다. 그러나 현재 샘플의 진위는 독립적으로 확인할 수 없습니다. 이 문서들은 이전 캠페인(1, 2, 3, 4)에서 사용된 문서들과는 달랐으며, 특히 TAG-110이 적어도 2023년부터 배포한 HTA 기반 페이로드 HATVIBE가 내장되어 있지 않았습니다. 이 캠페인에서 TAG-110은 초기 페이로드로 HATVIBE 대신 매크로가 활성화된 Word 템플릿 파일(.dotm 파일)을 사용했습니다. 중앙아시아 공공 부문 기관을 표적화했던 TAG-110의 과거 이력을 고려할 때, 이번 캠페인은 타지키스탄 내 정부, 교육 및 연구 기관을 표적으로 삼고 있을 가능성이 높습니다.

러시아의 중앙아시아 정책은 이 지역의 안보, 경제, 정치 구조의 핵심에 개입함으로써 소련 이후의 영향력을 보존하는 데 중점을 두고 있습니다. TAG-110의 활동은 정보 수집 작전을 통해 이 정책을 지속적으로 강화하고 있습니다. Insikt Group은 TAG-110이 정부 부처, 학술 및 연구 기관, 외교 공관을 대상으로 지역 작전을 지속할 것으로 예상하고 있으며, 특히 다가오는 선거, 군사 작전 또는 러시아가 영향을 미치고자 하는 기타 이벤트와 관련된 기관에 집중할 것으로 보입니다.

주요 연구 결과

• TAG-110은 최근 타지키스탄을 대상으로 한 캠페인에서 스피어피싱 전술을 변경하여 매크로가 활성화된 Word 템플릿(.dotm 파일)을 사용하고 있습니다.
• 이 캠페인은 이전 캠페인의 미끼에서 발견된 VBA 코드를 재사용하고 C2 인프라가 중복되며 의심스러운 합법적인 정부 문서를 미끼 자료의 사용한다는 점에서 TAG-110의 소행으로 추정됩니다.
• TAG-110은 타지키스탄 정부, 교육 및 연구 기관을 지속적으로 표적화하여 중앙아시아에서 영향력을 유지하려는 러시아의 전략을 지원합니다. 이러한 사이버 스파이 활동은 특히 선거나 지정학적 긴장과 같은 민감한 이벤트 기간에 지역 정치나 안보에 영향을 미치기 위한 정보 수집을 목표로 할 가능성이 높습니다.
• TAG-110은 최근 매크로 활성화 Word 템플릿(.dotm)이 자동 실행되도록 Microsoft Word 시작 폴더에 배치하여 지속성을 우선시하는 전술적 진화를 보이고 있습니다. 조직에서는 Word 시작 디렉터리에 무단 추가 항목이 있는지 모니터링하고, 엄격한 매크로 보안 정책을 적용해야 합니다.

배경

TAG-110은 UAC-0063과 겹치는 러시아 연계 위협 행위자로, CERT-UA에 의해 중간 정도의 신뢰도로 APT28(BlueDelta)와 연결된 것으로 확인되었습니다. TAG-110은 적어도 2021년부터 주로 중앙아시아를 대상으로 사이버 스파이 캠페인을 벌여왔습니다. 과거에 이 단체는 초기 액세스 및 지속성을 위해 설계된 HTA 기반 멀웨어인 HATVIBE 등의 악성 페이로드를 전송하기 위해 매크로가 활성화된 Word 문서를 사용하는 것으로 알려졌습니다. 2024년 11월에 Insikt Group은 TAG-110이 중앙아시아 외교 기관을 대상으로 한 이메일에서 HTA가 포함된 스피어피싱 첨부 파일을 사용한 것을 강조했습니다. TAG-110의 작전은 CERT-UA, BitDefender, Sekoia와 같은 조직에 의해 문서화되었으며, 최근 캠페인은 카자흐스탄, 우즈베키스탄 및 기타 중앙아시아 국가의 기관을 겨냥하고 있습니다. TAG-110은 CHERRYSPY(DownExPyer), LOGPIE, PyPlunderPlug 등 다양한 맞춤 멀웨어 계열을 계속 사용해 스파이 활동을 벌이고 있습니다.

위협 분석

2025년 1월부터 Insikt Group은 새로운 TAG-110 1단계 페이로드를 탐지했으며, 이는 위협 행위자들이 전술을 발전시키고 있음을 시사합니다. 이전에 TAG-110은 매크로가 활성화된 Word 문서를 사용하여 초기 액세스를 위한 HTA 기반 멀웨어인 HATVIBE를 전송했습니다. 새로 탐지된 문서에는 예약 작업을 생성하기 위한 임베디드 HTA HATVIBE 페이로드가 포함되어 있지 않으며, 대신 지속성을 위해 Word 시작 폴더에 위치한 전역 템플릿 파일을 활용합니다.

문서 분석

표 1: d60e54854f2b28c2ce197f8a3b37440dfa8dea18ce7939a356f5503ece9e5eb7의 메타데이터(출처: Recorded Future)

첫 번째 문서(그림 1)는 방사선 안전 보장을 주제로 타지키스탄 군대에 보낸 공지로 보입니다. 기계 번역에서는 "РТ"를 "타르타르스탄 공화국"으로 잘못 번역했지만, 문서 후반부에 "Республика Таджикистан"이 "PT" 대신 사용되는 것으로 보아 더 넓은 문서 맥락에서 "PT"는 "타지키스탄 공화국"을 의미할 가능성이 높습니다. Insikt Group은 문서의 진위를 확인할 수 없었지만 TAG-110은 과거부터 합법적인 문서를 미끼로 사용해 왔습니다.

그림 1: d60e54854f2b28c2ce197f8a3b37440dfa8dea18ce7939a356f5503ece9e5eb7의 첫 페이지 및 해당 기계 번역(출처: Recorded Future)

표 2: 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7의 메타데이터(출처: Recorded Future)

두 번째 문서(그림 2)는 타지키스탄 수도 두샨베의 선거와 관련된 일정으로 보입니다. 보고 당시, Insikt Group은 문서의 진위를 확인할 수 없었습니다.

그림 2: 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7의 첫 페이지 및 해당 기계 번역(출처: Recorded Future)

VBA Macros

두 샘플 파일, d60e54854f2b28c2ce197f8a3b37440dfa8dea18ce7939a356f5503ece9e5eb7 및 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7 모두 동일한 기능과 명령 및 제어(C2) 인프라를 공유하며, C2 통신 방법에 약간의 변화만 있습니다. 그림 3은 이러한 악성 Word 문서의 소스 코드를 보여줍니다.

그림 3: 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7의 VBA 매크로 소스 코드(출처: Recorded Future Malware Intelligence)

서브 프로시저 분석

Document_Open() 서브 프로시저

악성 파일을 열면 document.open 이벤트가 트리거되고 나머지 코드는 다음을 수행합니다.

• "gyjyfyjrtjrtjhfgjfrthrtj" 키를 사용하여 문서의 보호 해제
• 맞춤법 오류 숨기기
• 글꼴 줄 너비를 0으로 설정하려고 시도
• Copy itself to the Word startup folder (%APPDATA%\Microsoft\Word\STARTUP<filename>.dotm) in XML template format with macros enabled for persistence

그림 4: 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7의 Document_open() 서브 프로시저(출처: Recorded Future Malware Intelligence)

AutoExec() 서브 프로시저

문서가 Word 시작 폴더에 추가되면 전역 템플릿으로 간주되며, Microsoft Word가 시작될 때마다 자동 매크로 AutoExec가 실행됩니다. AutoExec 매크로는 다음 작업을 수행합니다.

• Microsoft Word가 마지막으로 시작된 시간을 확인합니다. 이 정보는 전역 템플릿에 의해 레지스트리 위치 HKEY_CURRENT_USER\Software\Microsoft\Office<Version>\Word\Options\LastTime에 저장 및 유지됩니다. LastTime 값이 60초 미만이면 AutoExec는 실행을 종료합니다.
• 다음 시스템 정보를 수집하여 JSON 형식으로 저장합니다. -- 컴퓨터 이름 -- 사용자 이름 -- 지역 -- 모니터 해상도 -- 언어 -- 시스템 버전
• 그림 5와 같이 3초 동안 대기한 후 getInfo() 서브 프로시저를 실행합니다.

그림 5: 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7의 AutoExec() 서브 프로시저(출처: Recorded Future Malware Intelligence)

getInfo() 서브 프로시저

getInfo() 서브 프로시저는 피해자와 C2 서버 간의 통신을 시작합니다. 프로시저는 이를 위해 다음 작업을 수행합니다.

• HTTP 요청 객체를 생성하고 URL http://38.180.206[.]61/engine.php에 HTTP POST 요청을 보냅니다.
• 그림 7과 같이, HTTP 요청은 다음과 같은 특성이 있습니다.
  • Content-type 헤더가 application/x-www-form-urlencoded로 설정되었습니다.
  • User-Agent 헤더가 두 샘플에서 고유한 Base64 인코딩 ID로 설정되었습니다.
  • POST 데이터는 opamczqwe=&ywalokmsz= 형식입니다.
• C2 서버의 응답이 "%%%%"로 시작하면 서브 프로시저는 그 뒤의 나머지 문자열을 가져와 start 서브 프로시저의 인수로 사용합니다.
• 서버 HTTP 응답이 "%%%%"로 시작하지 않으면 10초 동안 기다렸다가 "%%%%"로 시작하는 응답을 받을 때까지 다시 시도합니다.
• 샘플 d60e54854f2b28c2ce197f8a3b37440dfa8dea18ce7939a356f5503ece9e5eb7은 수집된 데이터를 10번째 HTTP POST에서만 전송하는 카운트 루프를 사용하는 반면, 샘플 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7은 수집된 데이터를 첫 번째 HTTP POST에서만 전송합니다.

그림 6: 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7의 getInfo() 서브 프로시저(출처: Recorded Future)

그림 7: 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7의 HTTP POST에 대한 PCAP 출력(출처: Recorded Future)

start() 서브 프로시저

start() 서브 프로시저는 C2 응답에 제공된 추가 VBA를 실행하는 데 사용될 가능성이 있습니다. 서브 프로시저는 이를 위해 다음 작업을 수행합니다.

• 문자열 “###”을 구분 기호로 사용하여 나머지 C2 응답을 분할하고, 값을 배열에 저장합니다.
• 이 문자열 배열은 변수로 사용되며, 그림 8과 같이 6ac6a0dd78d2e3f58e95fa1a20b3ab22b4b49a1ab816dcfb32fd6864e1969ac3 등, 이전의 TAG-110 매크로 활성화 Word 문서에서 사용된 것과 유사한 코드 블록을 만들 수 있습니다.
• 배열 값은 COM 객체(TAG-110이 사용한 이전 VBA 코드와 코드가 겹치는 것으로 보아 WScipt.shell일 가능성이 높음)를 생성하는 데 사용되며, 레지스트리의 값에 기록됩니다.
  • 이는 이전 캠페인에서 사용된 전술처럼 레지스트리의 HKEY_CURRENT_USER\Software\Microsoft\Office\\Word\Security\AccessVBOM을 수정할 가능성이 있습니다.
  • 이 레지스트리 수정을 통해 VBA 매크로는 다른 VBA 프로젝트를 수정하고 액세스할 수 있습니다.
• 다른 COM 객체(TAG-110이 사용한 이전 VBA 코드와 코드가 겹치는 것으로 보아 Word.Application일 가능성이 높음)는 백그라운드에서 Microsoft Word를 실행하고, 해당 Microsoft Word 인스턴스 내에 새 문서를 생성하며, VBA 모듈을 추가하여 3초 후에 실행합니다.

그림 8: 6ac6a0dd78d2e3f58e95fa1a20b3ab22b4b49a1ab816dcfb32fd6864e1969ac3(위)와 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7(아래) 간의 코드 중복(출처: Recorded Future)

그림 9: 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7의 start() 서브 프로시저(출처: Recorded Future)

악성 인프라

파일 d60e54854f2b28c2ce197f8a3b37440dfa8dea18ce7939a356f5503ece9e5eb7 및 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7은 동일한 C2 서버, 38.180.206[.]61을 공유합니다. 이 IP 주소는 Sekoia에 의해 이전에 HATVIBE C2 서버로 식별되었고 TAG-110과 관련이 있는 것으로 추정되었습니다. 분석 당시, Insikt Group은 추가적인 2단계 VBA 모듈을 확보할 수 없었습니다. 그러나 TAG-110의 과거 활동과 도구 세트를 고려할 때, 매크로가 활성화된 템플릿을 통해 초기 액세스에 성공하면 HATVIBE, CHERRYSPY, LOGPIE 또는 스파이 활동을 위해 설계된 새로운 맞춤형 페이로드와 같은 추가 멀웨어가 배포될 가능성이 높습니다.

완화 조치

• Microsoft Word 시작 폴더에 전역 템플릿 파일이 생성 또는 수정되는 것은 지속적인 매크로 남용을 나타낼 수 있으므로 이를 모니터링하고 경고합니다.
• VBA 매크로 동작을 활성화하거나 조작하려는 시도를 나타낼 수 있으므로, HKEY_CURRENT_USER\Software\Microsoft\Office<Version>\Word\Security에서 AccessVBOM에 대한 레지스트리 수정을 탐지하고 조사합니다.
• Microsoft Office 애플리케이션에서 기본적으로 매크로를 비활성화하고, 명시적으로 승인되지 않는 한 사용자가 매크로를 활성화하지 못하도록 그룹 정책 개체(GPO)를 구현합니다.
• Recorded Future® Threat Intelligence를 사용하여 새롭게 등장하는 TAG-110 인프라, 멀웨어 서명 및 피싱 문서 지표를 모니터링합니다.
• TAG-110 및 다른 러시아 연계 위협 행위자와 관련된 활동에 대해 실시간 경고를 받기 위해 Recorded Future Threat Intelligence 모듈을 SIEM 및 SOAR 플랫폼에 통합합니다.

전망

현재 및 과거의 Insikt Group 보고에 따르면, TAG-110은 매크로가 활성화된 스피어피싱 문서를 일관되게 사용하여 멀웨어를 전송하고 표적 환경에서 지속성을 확립합니다. Insikt Group은 TAG-110이 지역 이벤트와 관료적 테마를 계속 활용하여 미끼를 만들 것으로 예상합니다. 또한 중앙아시아의 정부, 국방 또는 공공 인프라와 관련된 기관, 특히 선거나 군사 활동과 같은 민감한 이벤트와 관련된 기관을 겨냥한 공격이 지속될 것으로 예상합니다.

전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.

부록 A — 침해 지표

Appendix B: MITRE ATT&CK Techniques