해외 보안관련 기사를 포스팅해볼까한다
이번 주제는 러시아 관련 위협 그룹 TAG-110이 타지키스탄을 표적으로 한 스피어피싱관련 사례이다.
모든 내용은 Recored Future 사이트에서 발췌한 기사를 토대로 요약한 내용이다.
"All content and images on this page are excerpted from Recorded Future. Full article available at the link above"
출처:https://www.recordedfuture.com/research/russia-aligned-tag-110-targets-tajikistan-with-macro-enabled
TAG-110 Targets Tajikistan: New Macro Word Documents Phishing Tactics
Russia-aligned TAG-110 shifts to .dotm phishing lures in a 2025 campaign against Tajikistan’s public sector, advancing cyber-espionage in Central Asia.
www.recordedfuture.com
[Summary]
러시아와 연계된 위협 그룹 TAG-110이 2025년 초 타지키스탄을 대상으로 실행한 사이버 작전에 대해 분석한 내용이다.
주된 방법은 매크로가 활성화된 워드 템플릿(.dotm 파일)을 활용하여 지속성을 강화한 피싱 캠페인이다.
주 타겟은 해당 정부, 교육, 연구 기관 등으로 파악되었다.
[Potential Threats?]
- 지속적 침투(Persistence): 문서가 Word 시작 폴더에 복사되어 Word 실행 시마다 자동 실행되는 방식으로 장기적인 침투 유지
- 정보 수집 기반 첩보 활동: 감염된 시스템에서 사용자 정보, 환경 정보 등을 수집하여 외부 서버로 전송
- 사회공학 기반 공격(Spear Phishing): 실제 정부 문서를 미끼로 사용하여 공격자의 신뢰도를 높임
- 2차 악성코드 실행 가능성: HATVIBE, LOGPIE, CHERRYSPY 등 고급 맞춤형 악성코드를 추가적으로 투하할 수 있음
이러한 위협은 단순한 랜섬웨어나 악성 링크 수준이 아닌, 국가 차원의 기밀 유출이나 정치적 영향력 행사로 이어질 수 있는 수준으로 생각 된다.
[Tactics of Infiltration and Impact?]
1.피싱 메일 발송 → 타지키스탄 정부 관련 내용을 가장한 .dotm 파일 첨부
2.사용자 문서 오픈 → Document_Open() 함수 실행 → STARTUP 폴더에 복사
3. AutoExec 매크로 작동 → Word 실행 시 마다 악성 코드 재실행
4. getInfo() 함수 → 사용자 시스템 정보 수집 → C2 서버로 전송
5. start() 함수 → C2 서버로부터 추가 VBA 명령 수신 및 실행
6. 잠재적 2차 페이로드 실행 → 백도어, 스파이웨어 등 추가 악성 행위 가능
1. Document_Open() — 초기 실행 트리거 (Initial Execution Trigger)
- 사용자가 악성 .dotm 문서를 열면 자동 실행됨
- 다음과 같은 작업 수행:
- 문서 보호 해제 (패스워드 포함)
- 맞춤법 오류 숨김 등으로 탐지 회피
- 자신의 사본을 %APPDATA%\Microsoft\Word\STARTUP 폴더에 저장
- Word 시작 시 자동 로딩되는 글로벌 템플릿으로 등록됨
2. AutoExec() — 지속적 실행 (Persistence Mechanism)
- 문서가 STARTUP 폴더에 있을 경우, Word가 실행될 때마다 이 매크로가 자동 실행
- 주요 작업:
- Word 마지막 실행 시간을 레지스트리에서 조회 60초 이내면 실행하지 않음 (탐지 회피)
- 시스템 정보 수집: 컴퓨터명, 사용자, 언어, 해상도 등
- 3초 후 getInfo() 실행
3. getInfo() — 정보 수집 및 C2 서버 통신 (Recon + C2 Channel)
- HTTP POST를 통해 아래 서버에 연결(hxxp://38.180.206[.]61/engine.php)
- POST 헤더:
- Content-Type: application/x-www-form-urlencoded
- User-Agent: Base64로 인코딩된 고유 ID
- 전송 데이터: 피해자 정보 JSON
- C2 응답이 "%%%%"로 시작할 경우, 그 뒤 명령을 start()로 전달
아니면 10초 후 재시작
4. start() — C2 명령 기반 추가 코드 실행 (Payload Executor)
- "###" 구분자를 기준으로 C2 응답을 분할 → 배열로 저장
- 이 배열 값들로 VBA 코드 조립 → COM 객체 생성 (WScript.Shell 등)
- AccessVBOM 레지스트리 키 수정 → 다른 VBA 프로젝트 제어 가능하게 변경
- Word 인스턴스 백그라운드로 띄워서:
- 새 문서 생성
- VBA 모듈 삽입
- 3초 후 자동 실행
[영향 확장]
- 내부 시스템 장악 및 정보 수집
- 감염된 템플릿이 공유될 경우 전파력 상승
- 정부기관 및 국방, 외교 부분까지 영향 확대 가능
[Overall Threat Summary]-RECAP
- 공격자: 러시아 연계 APT 그룹 TAG-110 (APT28과 일부 중복)
- 표적: 타지키스탄 정부·교육·연구 기관
- 수단: 매크로 활성 워드 템플릿(.dotm) / HATVIBE, CHERRYSPY 등 사용자 지정 악성코드
- 목적: 정치·군사 정보 수집 및 지속적 침투 확보
- 특징: 문서 기반 침투, Word 시작 폴더 자동 실행, 통신 프로토콜 정교화
[예방 및 방어 방안]
- Microsoft Office 매크로 비활성화: GPO를 통해 기본적으로 비활성화하고 예외 허용 시만 사용
- STARTUP 폴더 감시: %APPDATA%\Microsoft\Word\STARTUP 디렉터리 감시 및 변경 알림 설정
- 레지스트리 AccessVBOM 감시: 매크로에 의한 접근 권한 변경 탐지
- SIEM과 TI 연동: Recorded Future와 같은 위협 인텔리전스를 SIEM에 연동해 TAG-110 관련 IOC 실시간 차단
- 파일 무결성 모니터링: 템플릿 파일의 해시값 변경 시 경고 발생
- 조직의 조치는?:
- 매크로 사용 정책 수립 및 사용자 교육
- APT 탐지 역량 향상 (역공학 분석자 및 보안운영팀 중심)
- 메일 필터링 강화: .dotm 확장자에 대한 필터 설정
[Security Engineer’s Perspective and Insight on TAG-110 APT Attacks]
1. 매크로 기반 공격, ‘구시대 기법’이 아니다
- .dotm 템플릿 파일을 STARTUP 폴더에 배치해 Word 실행 시 자동 감염되도록 설계
- 여전히 Office 매크로 기반 공격이 실제 위협이자 고도화된 지속성 수단으로 사용됨을 보여줌
- 보안 정책에서 “매크로 차단”이 형식적인 수준에 머무르면 안 된다.
2. 공격자는 기술보다 맥락을 노린다
- 문서 내용은 타지키스탄 정부, 방사선 안전, 선거 등 정치·행정 이벤트에 기반
- 이는 단순 악성코드 유포가 아니라, 지정학적 영향력을 행사하기 위한 사회공학 기법
- 콘텐츠 기반 분석(Intel + Context)이 기술적 탐지만큼 중요하다.
3. "Persistence"에 최적화된 공격 설계
- Word STARTUP 폴더 + AutoExec 매크로 → 지속적 실행 구조
- 레지스트리 수정 → 다른 VBA 프로젝트 접근 권한 확보
- COM 객체 활용 → Word 내 VBA 삽입 후 자동 실행
4. IOC보다 TTP에 집중
- 기존 IOC (IP, Hash 등)는 빠르게 우회됨
- TAG-110은 동일한 전술적 패턴을 반복 사용 중 (ex. 매크로 + Word 템플릿 + COM 개체 조작)
"행위 기반 탐지(Behavioral detection)"와 "Threat Hunting"이 중요해짐
[IOC]
| SHA256 해시 | d60e54854f2b28c2ce197f8a3b37440dfa8dea18ce7939a356f5503ece9e5eb7 |
| 문서 이름 | documents.php |
| 문서 생성 시간 | 2024-12-24 06:47:00 UTC |
| 최초 발견 | 2025-01-27 09:18:33 UTC |
| C2 호스트 | hxxp://38.180.206[.]61:80/engine.php |
| 파일 유형 | MS Word 2007+ 매크로가 활성화된 템플릿 (.dotm) |
| SHA256 해시 | 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7 |
| 문서 생성 시간 | 2024-12-13 06:18:00 UTC |
| 최초 발견 | 2025-02-01 12:04:49 UTC |
| C2 호스트 | hxxp://38.180.206[.]61:80/engine.php |
| 파일 유형 | MS Word 2007+ Macro-Enabled Template (.dotm) |