Executive Summary

2025년 1월부터 2월까지, Insikt Group은 타지키스탄을 겨냥한 피싱 캠페인을 탐지했으며, 이 캠페인은 러시아와 연계된 위협 행위자인 TAG-110에 의해 수행된 것으로 판단하고 있습니다. 이는 UAC-0063과 겹치며 CERT-UA에 의해 중간 정도의 신뢰도로 APT28(BlueDelta)과 연관된 것으로 보고되었습니다. 이 캠페인에서 TAG-110은 타지키스탄 정부를 주제로 한 문서를 미끼 자료로 활용했으며, 이는 과거에 트로이목마화된 합법적인 정부 문서를 사용했던 것과 일치합니다. 그러나 현재 샘플의 진위는 독립적으로 확인할 수 없습니다. 이 문서들은 이전 캠페인(1, 2, 3, 4)에서 사용된 문서들과는 달랐으며, 특히 TAG-110이 적어도 2023년부터 배포한 HTA 기반 페이로드 HATVIBE가 내장되어 있지 않았습니다. 이 캠페인에서 TAG-110은 초기 페이로드로 HATVIBE 대신 매크로가 활성화된 Word 템플릿 파일(.dotm 파일)을 사용했습니다. 중앙아시아 공공 부문 기관을 표적화했던 TAG-110의 과거 이력을 고려할 때, 이번 캠페인은 타지키스탄 내 정부, 교육 및 연구 기관을 표적으로 삼고 있을 가능성이 높습니다.

러시아의 중앙아시아 정책은 이 지역의 안보, 경제, 정치 구조의 핵심에 개입함으로써 소련 이후의 영향력을 보존하는 데 중점을 두고 있습니다. TAG-110의 활동은 정보 수집 작전을 통해 이 정책을 지속적으로 강화하고 있습니다. Insikt Group은 TAG-110이 정부 부처, 학술 및 연구 기관, 외교 공관을 대상으로 지역 작전을 지속할 것으로 예상하고 있으며, 특히 다가오는 선거, 군사 작전 또는 러시아가 영향을 미치고자 하는 기타 이벤트와 관련된 기관에 집중할 것으로 보입니다.

주요 연구 결과

• TAG-110은 최근 타지키스탄을 대상으로 한 캠페인에서 스피어피싱 전술을 변경하여 매크로가 활성화된 Word 템플릿(.dotm 파일)을 사용하고 있습니다.
• 이 캠페인은 이전 캠페인의 미끼에서 발견된 VBA 코드를 재사용하고 C2 인프라가 중복되며 의심스러운 합법적인 정부 문서를 미끼 자료의 사용한다는 점에서 TAG-110의 소행으로 추정됩니다.
• TAG-110은 타지키스탄 정부, 교육 및 연구 기관을 지속적으로 표적화하여 중앙아시아에서 영향력을 유지하려는 러시아의 전략을 지원합니다. 이러한 사이버 스파이 활동은 특히 선거나 지정학적 긴장과 같은 민감한 이벤트 기간에 지역 정치나 안보에 영향을 미치기 위한 정보 수집을 목표로 할 가능성이 높습니다.
• TAG-110은 최근 매크로 활성화 Word 템플릿(.dotm)이 자동 실행되도록 Microsoft Word 시작 폴더에 배치하여 지속성을 우선시하는 전술적 진화를 보이고 있습니다. 조직에서는 Word 시작 디렉터리에 무단 추가 항목이 있는지 모니터링하고, 엄격한 매크로 보안 정책을 적용해야 합니다.

배경

TAG-110은 UAC-0063과 겹치는 러시아 연계 위협 행위자로, CERT-UA에 의해 중간 정도의 신뢰도로 APT28(BlueDelta)와 연결된 것으로 확인되었습니다. TAG-110은 적어도 2021년부터 주로 중앙아시아를 대상으로 사이버 스파이 캠페인을 벌여왔습니다. 과거에 이 단체는 초기 액세스 및 지속성을 위해 설계된 HTA 기반 멀웨어인 HATVIBE 등의 악성 페이로드를 전송하기 위해 매크로가 활성화된 Word 문서를 사용하는 것으로 알려졌습니다. 2024년 11월에 Insikt Group은 TAG-110이 중앙아시아 외교 기관을 대상으로 한 이메일에서 HTA가 포함된 스피어피싱 첨부 파일을 사용한 것을 강조했습니다. TAG-110의 작전은 CERT-UA, BitDefender, Sekoia와 같은 조직에 의해 문서화되었으며, 최근 캠페인은 카자흐스탄, 우즈베키스탄 및 기타 중앙아시아 국가의 기관을 겨냥하고 있습니다. TAG-110은 CHERRYSPY(DownExPyer), LOGPIE, PyPlunderPlug 등 다양한 맞춤 멀웨어 계열을 계속 사용해 스파이 활동을 벌이고 있습니다.

위협 분석

2025년 1월부터 Insikt Group은 새로운 TAG-110 1단계 페이로드를 탐지했으며, 이는 위협 행위자들이 전술을 발전시키고 있음을 시사합니다. 이전에 TAG-110은 매크로가 활성화된 Word 문서를 사용하여 초기 액세스를 위한 HTA 기반 멀웨어인 HATVIBE를 전송했습니다. 새로 탐지된 문서에는 예약 작업을 생성하기 위한 임베디드 HTA HATVIBE 페이로드가 포함되어 있지 않으며, 대신 지속성을 위해 Word 시작 폴더에 위치한 전역 템플릿 파일을 활용합니다.

문서 분석

표 1: d60e54854f2b28c2ce197f8a3b37440dfa8dea18ce7939a356f5503ece9e5eb7의 메타데이터 (출처: Recorded Future)

첫 번째 문서(그림 1)는 방사선 안전 보장을 주제로 타지키스탄 군대에 보낸 공지로 보입니다. 기계 번역에서는 "РТ"를 "타르타르스탄 공화국"으로 잘못 번역했지만, 문서 후반부에 "Республика Таджикистан"이 "PT" 대신 사용되는 것으로 보아 더 넓은 문서 맥락에서 "PT"는 "타지키스탄 공화국"을 의미할 가능성이 높습니다. Insikt Group은 문서의 진위를 확인할 수 없었지만 TAG-110은 과거부터 합법적인 문서를 미끼로 사용해 왔습니다.

표 2: 메타데이터 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7 (출처: Recorded Future)

두 번째 문서(그림 2)는 타지키스탄 수도 두샨베의 선거와 관련된 일정으로 보입니다. 보고 당시, Insikt Group은 문서의 진위를 확인할 수 없었습니다.

VBA Macros

두 개의 샘플 파일, d60e54854f2b28c2ce197f8a3b37440dfa8dea18ce7939a356f5503ece9e5eb7 and 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7는 동일한 기능과 명령 및 제어(C2) 인프라를 공유하며, C2 통신 방법에서만 작은 변경이 있습니다. 그림 3은 이러한 악성 Word 문서의 소스 코드를 보여줍니다.

서브 프로시저 분석

Document_Open() 서브 프로시저

악성 파일을 열면 document.open 이벤트가 트리거되며, 이후 코드는 다음과 같이 실행됩니다:

• 문서를 보호 해제하려면 키 "gyjyfyjrtjrtjhfgjfrthrtj를 사용하세요."
• 맞춤법 오류 숨기기
• 글꼴 줄 너비를 0으로 설정하려고 시도
• Copy itself to the Word startup folder (%APPDATA%\Microsoft\Word\STARTUP<filename>.dotm) in XML template format with macros enabled for persistence

AutoExec() 서브 프로시저

문서가 Word 시작 폴더에 추가되면 글로벌 템플릿으로 처리되며, Microsoft Word가 시작될 때마다 자동 매크로 AutoExec가 실행됩니다. AutoExec 매크로는 다음 작업을 수행합니다:

• Microsoft Word가 마지막으로 실행된 시간을 확인합니다. 이 정보는 레지스트리 위치 HKEY_CURRENT_USER\Software\Microsoft\Office \Word\Options\LastTime에 저장되고 <Version>유지됩니다. -- LastTime의 값이 60초 미만인 경우 AutoExec는 실행을 종료합니다.
• 다음 시스템 정보를 수집하여 JSON 형식으로 저장합니다. -- 컴퓨터 이름 -- 사용자 이름 -- 지역 -- 모니터 해상도 -- 언어 -- 시스템 버전
• 그림 5와 같이 3초 동안 대기한 후 getInfo() 서브 프로시저를 실행합니다.

getInfo() 서브 프로시저

getInfo() 서브 프로시저는 피해자와 C2 서버 간의 통신을 시작합니다. 이 절차는 다음 작업을 수행하여 이를 달성합니다:

• HTTP 요청 객체를 생성하고 URL http://38.180.206[.]61/engine.php로HTTP POST 요청을 전송합니다.
• 그림 7과 같이, HTTP 요청은 다음과 같은 특성이 있습니다.
  • 콘텐츠 유형 헤더가 application/x-www-form-urlencoded로 설정되었습니다.
  • User-Agent 헤더가 두 샘플 모두에서 고유한 Base64 인코딩된 ID로 설정되었습니다.
  • POST 데이터를 opamczqwe= 형식으로 전송합니다.&ywalokmsz=
• C2 서버의 응답이 "% % % % ,"”로 시작되면 Sub 절차는 그 이후의 문자열을 나머지 부분으로 취하고, 이를 start Sub 절차의 인수로 사용합니다.
• 서버의 HTTP 응답이 다음 중 하나로 시작되지 않으면 "% % % % ," 10초 동안 대기한 후 응답이 "% "로 시작될 때까지 다시 시도합니다.%% %
• 샘플 d60e54854f2b28c2ce197f8a3b37440dfa8dea18ce7939a356f5503ece9e5eb7는 카운트 루프를 사용하며, 수집된 데이터는 HTTP POST 요청 중 10번째마다 전송됩니다. 반면 샘플 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7는 수집된 데이터를 첫 번째 HTTP POST 요청 시에만 전송합니다.

start() 서브 프로시저

start() 서브 프로시저는 C2 응답에 포함된 추가 VBA 코드를 실행하기 위해 사용될 가능성이 높습니다. Sub 절차는 다음 작업을 수행하여 이를 달성합니다:

• 문자열 “###”을 구분 기호로 사용하여 나머지 C2 응답을 분할하고, 값을 배열에 저장합니다.
• 이 문자열 배열은 변수로 사용되며, 이전 TAG-110 매크로 활성화된 Word 문서에서 사용된 것과 유사한 코드 블록을 생성하기 위해 사용됩니다. 예를 들어, 6ac6a0dd78d2e3f58e95fa1a20b3ab22b4b49a1ab816dcfb32fd6864e1969ac3와 같은 코드 블록을 생성할 수 있습니다. 그림 8에 표시된 것과 같습니다.
• 배열 값은 COM 객체(이전 TAG-110에서 사용된 VBA 코드와의 중복 코드로부터 WScript.shell 기반일 가능성이 높음)를 생성하는 데 사용되며, 이 값은 레지스트리의 특정 값에 기록됩니다.
  • 이 설정은 레지스트리의 HKEY_CURRENT_USER\Software\Microsoft\Office\\Word\Security\AccessVBOM 키를 수정하는 것으로 추정됩니다. 이 방법은 이전 캠페인에서도 사용된 전략입니다.
  • 이 레지스트리 수정을 통해 VBA 매크로는 다른 VBA 프로젝트를 수정하고 액세스할 수 있습니다.
• 또 다른 COM 개체(이전 TAG-110에서 사용된 VBA 코드의 코드 중복으로 판단할 때 Word.Application 기반일 가능성이 높음)가 백그라운드에서 Microsoft Word를 실행하고, 해당 Microsoft Word 인스턴스 내부에 새로운 문서를 생성한 후 VBA 모듈을 추가하고, 3초 후에 이를 실행합니다.

악성 인프라

The files d60e54854f2b28c2ce197f8a3b37440dfa8dea18ce7939a356f5503ece9e5eb7 and 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7는 동일한 C2 서버(38.180.206[.]61)를 공유합니다. 이 IP 주소는 이전에 HATVIBE C2 서버로 식별되었으며, Sekoia에 의해 TAG-110에 할당되었습니다. 분석 시점에는 Insikt Group이 추가적인 2단계 VBA 모듈을 확보할 수 없었습니다. 그러나 TAG-110의 과거 활동 기록과 도구 세트를 고려할 때, 매크로 활성화된 템플릿을 통해 초기 접근이 성공적으로 이루어질 경우 HATVIBE, CHERRYSPY, LOGPIE와 같은 추가 악성 소프트웨어가 배포될 가능성이 높으며, 또는 간첩 활동에 특화된 새로운 맞춤형 페이로드가 개발되어 배포될 수도 있습니다.

완화 조치

• Microsoft Word 시작 폴더에 전역 템플릿 파일이 생성 또는 수정되는 것은 지속적인 매크로 남용을 나타낼 수 있으므로 이를 모니터링하고 경고합니다.
• HKEY_CURRENT_USER\Software\Microsoft\Office<Version>\Word\Security 폴더 내 AccessVBOM 레지스트리 변경 사항을 탐지하고 조사합니다. 이는 VBA 매크로 동작을 활성화하거나 조작하려는 시도를 나타낼 수 있습니다.
• Microsoft Office 애플리케이션에서 기본적으로 매크로를 비활성화하고, 명시적으로 승인되지 않는 한 사용자가 매크로를 활성화하지 못하도록 그룹 정책 개체(GPO)를 구현합니다.
• Recorded Future® Threat Intelligence를 사용하여 새롭게 등장하는 TAG-110 인프라, 멀웨어 서명 및 피싱 문서 지표를 모니터링합니다.
• TAG-110 및 다른 러시아 연계 위협 행위자와 관련된 활동에 대해 실시간 경고를 받기 위해 Recorded Future Threat Intelligence 모듈을 SIEM 및 SOAR 플랫폼에 통합합니다.

전망

현재 및 과거의 Insikt Group 보고에 따르면, TAG-110은 매크로가 활성화된 스피어피싱 문서를 일관되게 사용하여 멀웨어를 전송하고 표적 환경에서 지속성을 확립합니다. Insikt Group은 TAG-110이 지역 이벤트와 관료적 테마를 계속 활용하여 미끼를 만들 것으로 예상합니다. 또한 중앙아시아의 정부, 국방 또는 공공 인프라와 관련된 기관, 특히 선거나 군사 활동과 같은 민감한 이벤트와 관련된 기관을 겨냥한 공격이 지속될 것으로 예상합니다.

전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.

부록 A — 침해 지표

Appendix B: MITRE ATT&CK Techniques