Operation GriefLure 캠페인

개요

2026년 5월 공개된 Operation GriefLure는 베트남 최대 군 통신기업 Viettel 그룹 임원진과 필리핀 의료기관 SLMC를 겨냥한 표적 스피어피싱 캠페인이다. 이 공격이 특히 위험했던 이유는 공격자가 실제 법적 분쟁 과정에서 작성된 진짜 문서를 이메일에 첨부해 보냈기 때문이다. 경찰 수사 보고서, 기업 공문, 내부 이메일 등 실제 문서를 그대로 활용 했다.  또한 첨부파일을 열면 화면에는 정상적인 문서가 표시되는 동안 악성코드가 백그라운드에서 10초 이내에 설치를 완료하는 방식으로 설계되었다.
이번 공격의 직접적인 타겟은 통신과 의료 분야였지만, 공격에 사용된 방식은 업종을 가리지 않는다. 이메일 첨부파일 하나로 시작되는 이 공격 방식은 에너지 기업도 예외가 아니며, 국가 핵심 인프라를 운영하는 조직일 수록 공격자의 주요 타겟이 될 가능성이 높다. 특히 에너지 분야는 사회 전반에 직접적인 영향을 미치는 시스템을 운영하는 만큼, 공격자 입장에서는 높은 가치를 지닌 타겟이다. 이번 캠페인에서 공격자가 통신과 의료라는 서로 다른 두 분야를 동시에 타겟으로 삼았다는 점은 특정 산업에 국한되지 않고 다양한 분야로 공격을 확장할 의도가 있음을 보여준다. 

Operation GriefLure 캠페인 도식도

Operation GriefLue 캠페인은 다음과 같은 흐름으로 진행된다. 

상세 분석

캠페인에 사용된 rar 파일을 압축해제할 경우 아래와 같은 파일과 폴더를 확인할 수 있다. 1개의 LNK 파일과 3개의 jpg 파일, 1개의 폴더로 구성되어있으며 lnk 파일의 경우 ftp를 실행하도록 되어있다. 

<그림 1> rar 파일 압축해제 시 드롭되는 pdf 파일

<그림 2> pdf 파일 내부 

LNK 파일은 ftp.exe를  -s 파라미터를 주어 /_/_/j 경로 안에 있는 ‘_’ 파일을 실행한다. 

<그림 3> LNK 클릭 시 실행되는 명령어 

‘_’ 폴더 안에는 또 다른 ‘_‘ 폴더가 있으며 해당 폴더 안에는 j 라는 폴더가 존재한다. 최종적으로 경로 _/_/j/ 안에는 _ 배치 파일 _rels, doc 폴더가 존재한다. lnk 파일 클릭 시 실행되는 _ 파일은 배치 파일이다. 

<그림 4> _ 폴더 내부 

배치 파일은 다음과 같은 행위를 순차적으로 실행한다.
      1.작업 디렉토리 생성 ( C:\Users\Public\Update )
      2._rels 폴더 아래에 있는 header.doc, sc.doc 파일을 header, sc 라는 이름으로 Update 폴더에 복사
      3._rels 폴더 안 0~9.doc 파일을 shell32 라는 이름으로 Update 폴더에 복사
      4.header와 shell32를 병합해 dll 파일 생성
      5.header 와 _rels 폴더 안 WindowsSeciruty.doc 파일을 병합해 sfsvc.exe 생성
      6.생성한 sfsvc.exe를 이용해 dll을 로드하여 악성행위 실행
      7.1.pdf를 전체화면으로 실행 

<그림 5> 배치 파일 스크립트 

<그림 6> _refs 폴더 내부 

<그림 7> Update 폴더에 생성되는 악성 파일들 

로드된 dll 파일은 CreateToolhelp32Snapshot 함수를 이용해 실행중인 프로세스 목록 중에 SophosUI.exe 가 존재하는지 확인한다.  

<그림 8> 실행 프로세스 탐색 

Sophos는 영국 Sophos Ltd. 에서 개발한 보안 솔루션으로, 해당 솔루션이 실행 중인 경우 360.dll은 탐지 우회를 위해 explorer.exe를 생성하고 앞서 드롭된 sc 파일을 페이로드로 인젝션하여 악성 행위를 수행한다. 반면 보안 솔루션이 탐지되지 않을 경우 sc 파일을 메모리에 직접 로드하여 악성 행위를 수행한다. 

<그림 9> explorer.exe 내에 페이로드 인젝션 

로드된 sc 파일은 C2 서버와 HTTPS 통신을 수행하여 암호화된 페이로드를 수신하며, 수신한 데이터를 복호화한다.  최종적으로 해당 페이로드는 RAT 악성코드이다.

<그림 10> C2서버 whatsappcenter[.]com 통신 수행 

RAT 악성코드

RAT 악성코드는 명령줄 인수에 따라 다양한 공격을 수행하는 모듈형 악성코드이다. 악성코드를 살펴보면 다양한 기능이 탑재 되어있는 것을 확인할 수 있다. 

<그림 11> C2 서버 통신 

시스템 화면을 캡쳐하고, 파일 데이터를 수집하여 ‘파일 이름|시간|크기(KB)와 같이 항목을 구성한다. 

<그림 12> 화면 스크린샷 

<그림 13> 파일 메타데이터 수집 

브라우저 자격증명 또는 원격 데스크톱 도구의 설정 파일들을 수집한다. 

<그림 14> 브라우저 자격증명 수집

<그림 15>원격 데스크톱 설정 파일 수집 

또한 가상머신 환경 여부를 확인하고 UAC 상태를 확인한다. 이는 분석 환경 식별 및 권한 상승 가능성을 판단하는데 사용된다. 

<그림 16> 가상환경 식별 및 UAC 확인 

결론

RAT 악성코드는 Operation GriefLure로 명명된 APT 캠페인으로, 실제 법적 분쟁 문서를 미끼로 활용한 스피어 피싱을 통해 베트남 군 통신기업 및 필리핀 의료기관을 표적으로 삼은 사례이다. 공격의 핵심은 악성코드 자체의 기능보다 초기 침투 및 탐지 우회 방식에 있다. 또한 최종 RAT 페이로드는 C2 서버로부터 암호화된 상태로 수신되어 메모리 내에서만 실행되는 파일리스 방식을 채택하고 있다.
특히 피해자가 실제로 관련된 진본 법적 문서를 활용함으로써 보안 교육이나 사용자 인식만으로는 대응이 어려운 형태의 사회공학적 기법을 구사하였다는 점에서 정교함이 두드러진다. 이는 소프트웨어 패치 관리, 이메일 첨부파일 실행 관리, 메모리 기반 행위 탐지 등 복합적은 보안 대책의 중요성을 상키시키는 사례이다.