최근 NTT 보안연구원들은 BlackTech APT 조직이 Flagpro 악성코드를 사용하는 공격 캠페인에서 日 조직을 표적으로 삼기 시작했다는 것을 식별했고, 관련 보고서를 발표했다.

보고서에 따르면 BlackTech 조직은 Flagpro 악성코드를 공격 초기에 사용하는데, 이 단계에서는 이들은 네트워크 정찰과 같은 활동에 초점을 맞춘다. 이 때 주로 목표 환경 탐색 또는 다른 멀웨어를 다운로드 및 실행한다.

BlackTech는 주로 스피어피싱 메일을 사용하여 사이버 공격을 시작하고 대상 기업의 비즈니스 파트너를 가장한다. 해당 메일에는 파일을 열기 위해 필요한 비밀번호와 RAR 또는 ZIP 첨부파일이 있다. 그리고 해당 파일을 압축 해제 하면 악성매크로가 포함된 Microsoft Excel 파일이 있는데, 매크로를 통해 실행되는 것은 Flagpro 악성코드로 알려졌다.

특히 첨부 파일은 공격 대상에 맞게 제목과 내용을 수정하기 때문에 피해자들은 공격자가 보낸 파일에 대해 의구심을 갖기 어려운 것으로 알려졌다. Flagpro 악성코드는 C&C 서버와 통신하여 서버로부터 실행 명령을 받거나 후속 공격의 악성코드를 다운로드하여 실행한다.

NTT 연구원들은 보고서에서 통신, 미디어 및 방위 산업의 다양한 일본 기업이 Flagpro 악성코드를 활용하는 사이버 공격의 표적이 되었음을 강조하고 있다. 특히 공격자들이 영어와 중국어를 사용하는 데 능숙한 것으로 보아, 영어권 국가도 공격 대상의 목록에 포함되었을 수 있다는 결론을 도출해낸 것으로 알려졌다.

[출처 : Heimdal Security / 1.4.]