Loading...
반응형

최근 보안업계에서 주목하고 있는 새로운 사이버 위협이 있습니다.
바로 'Paper Werewolf(페이퍼 웨어울프)'라는 해커 그룹인데요 🐺,
이들이 러시아 정부 및 주요 산업 부문을 대상으로 USB를 감염시키는 악성코드 PowerModul을 활용해
활발한 공격을 벌이고 있다는 소식이 전해졌습니다.

🧾 Paper Werewolf, 누구인가요?

‘Paper Werewolf’는 보안 업체들 사이에서는 Goffee라는 이름으로도 알려져 있어요.
이들은 러시아 내 주요 산업 및 공공기관을 상대로 꾸준히 피싱 기반의 스피어피싱 캠페인을 벌여온 APT 그룹입니다.

  • 활동 시기: 2024년 7월~12월
  • 주요 타깃: 정부기관, 에너지, 건설, 언론, 금융, 통신사 등
  • 공격 수단: 피싱 메일, 악성 문서(가짜 PDF/Word), USB 전파형 악성코드

💻 PowerModul이 뭐길래?

Kaspersky가 분석한 바에 따르면, Paper Werewolf는 최근까지도 이전과 다른 방식의 감염 메커니즘을 시도하고 있다고 해요. 핵심은 바로 PowerShell 기반의 PowerModul이라는 악성 스크립트입니다.

PowerModul의 특징:

  • PowerShell 다운로드형 
  • C2 서버로부터 추가 페이로드(기능별 모듈) 다운로드 가능
  • 감염된 시스템에서 지속적인 명령 수신 및 명령 실행

이 PowerModul은 모듈형으로 동작하며, 상황에 따라 파일 탈취, USB 감염, 네트워크 확산 등 다양한 기능을 수행할 수 있어요.

🧠 주요 악성 모듈들

🔍 FlashFileGrabber

  • 연결된 USB 드라이브에서 특정 문서 검색
  • 로컬 디스크에 자동 복사하여 유출

🧬 USB Worm

  • PowerModul을 USB에 복사
  • 향후 연결된 다른 시스템도 자동 감염

이 두 가지가 결합되면, 한번의 USB 연결만으로도 조직 내 다수 시스템에 연쇄 감염을 유발할 수 있다는 것이죠.

🎯 공격 타깃은?

BI.ZONE의 분석에 따르면, Paper Werewolf는 지금까지 최소 7차례의 대규모 공격 캠페인을 벌였고,
그 중 다수는 러시아 내 공공기관과 주요 산업 기반 시설을 대상으로 했습니다.

공격 방식은 비교적 전통적인 피싱 이메일이지만,
여기에 USB 악성코드 전파가 더해져 더욱 교묘하고 파괴적인 양상을 보이고 있어요.

  • 🕵️‍♂️ 피싱 메일 발송
  • 📎 첨부파일: 실행파일(EXE)인데 Word/PDF로 위장
  • 🧩 실행 시 PowerModul 다운로드 및 실행 → USB 감염

🔥 단순 스파이 활동을 넘는 공격

Paper Werewolf는 단순한 정보 탈취를 넘어, 다음과 같은 파괴적 행위도 시도하고 있다고 보고됐습니다.

  • 내부 계정 탈취 및 자격 증명 변경
  • Owowa 백도어의 변형 버전 사용
  • 이메일 서버 침입 및 내부 스파이 활동
  • 특정 조직 인프라의 파괴를 위한 명령 실행

📌 참고로, Owowa는 Outlook Web Access(OWA)를 타깃으로 한 백도어로,
관리자 로그인 후 명령을 실행하는 기능이 있어 매우 위협적인 툴이에요.

🔐 방어 팁: USB, 이제는 보안 사각지대가 아니에요!

이번 Paper Werewolf 사례처럼, USB를 이용한 감염 방식은 여전히 강력합니다.
특히 직원이 무심코 꽂은 USB 하나로 전체 네트워크가 감염될 수 있다는 점에서 더 주의가 필요하죠.

✅ 조직 차원의 대응 방안:

  1. USB 포트 제어 정책 수립 (화이트리스트 기반 허용)
  2. PowerShell 로깅 및 실행 제한
  3. EDR 솔루션을 통한 행동 기반 탐지
  4. 메일 첨부파일 자동 분석 샌드박스 적용
  5. 모든 USB 장치 연결 시 자동 검사 기능 활성화

✍️ 마무리

Paper Werewolf는 우리가 생각하는 ‘낡은 방식의 USB 감염’이 여전히 진화 중이라는 사실을 일깨워주고 있어요.
특히 내부 보안이 잘 되어 있어도, USB 한 개로 무너질 수 있다는 점을 명심해야겠죠.

🛡️ 오늘도 ‘작은 연결 하나’가 조직 보안의 판도를 바꿀 수 있습니다.
USB 하나도 절대 방심하지 마세요!

728x90
반응형
저작자표시 동일조건 (새창열림)

'CyberSecurity > Security🔐' 카테고리의 다른 글

🧪 크롬 확장 프로그램이 당신을 감시하고 있다면? 😨  (2) 2025.04.14
📸 윈도우11 ‘리콜(Recall)’ 부활? 3초마다 화면 캡처하는 AI 기능, 왜 문제일까?  (3) 2025.04.14
☁️ MSP들이 주의해야 할 제로데이 취약점! CentreStack의 RCE 위협과 대응법  (1) 2025.04.11
🇨🇳 Salt Typhoon, 미국 통신망 뚫은 중국의 스파이 작전? 우리가 알아야 할 사실들!  (4) 2025.04.11
🤖 새로운 OSS 공급망 공격의 등장: "패치로 위장한 감염자"  (1) 2025.04.11

티스토리툴바