시크릿 블리자드 공격 탐지: 러시아 지원 APT 그룹, 아폴로섀도우 악성코드로 모스크바 외국 대사관 공격
목차:
러시아 연계 해킹 그룹은 여전히 전 세계적인 주요 위협으로 자리 잡고 있으며, 모스크바의 지정학적 이익을 위해 지속적으로 전술을 진화시키고 있습니다. 국제적 긴장이 고조됨에 따라 이 정부 연계 행위자들은 활동 영역을 확대하여 전 세계의 고위험 조직들을 표적으로 삼고 있습니다. 마이크로소프트 위협 인텔리전스 팀의 최신 보고서에서는 Secret Blizzard(일명 Turla, UAC-0024)가 현재 모스크바 내 외국 대사관을 대상으로 활동하고 있음을 강조합니다. ISP 수준에서의 중간자 공격(Adversary-in-the-Middle, AiTM) 기법을 활용하며, 맞춤형 ApolloShadow 악성코드를 배포해 사이버 스파이 행위를 수행하는 정황이 관찰되고 있습니다.
ApolloShadow 악성코드를 이용한 Secret Blizzard 활동 탐지
ESET의 2024년 4분기~2025년 1분기 APT 활동 보고서에 따르면, 러시아 연계 행위자들은 전 세계 APT 공격 출처 중 두 번째로 많은 비중을 차지합니다. 2025년 들어 SVR, GRU 등 러시아 정보기관과 연결된 그룹들은 우크라이나와 EU를 적극적으로 겨냥하고 있으며, 특히 핵심 인프라, 정부 기관, 연구 기관을 집중 공격 대상으로 삼고 있습니다. 전 세계 수많은 조직이 위험에 노출된 만큼, Secret Blizzard의 최근 사이버 스파이 캠페인과 같은 위협을 선제적으로 파악하는 것이 매우 중요합니다.
SOC Prime 플랫폼에 등록하여 러시아 APT 공격을 가능한 조기 단계에서 탐지하세요. 본 플랫폼은 시기적절한 위협 인텔리전스와 실행 가능한 탐지 콘텐츠를 제공하며, AI 기반 탐지 엔지니어링, 자동화된 위협 헌팅, 고급 위협 탐지를 위한 완전한 제품군을 지원합니다. 아래의 탐지 규칙 확인 버튼을 클릭하면 ApolloShadow 악성코드를 활용한 최신 Secret Blizzard 사이버 스파이 캠페인 탐지에 최적화된 선별된 탐지 규칙 모음을 확인할 수 있습니다.
또한 사이버 방어 담당자는 위협 탐지 마켓플레이스에서 “Secret Blizzard” 또는 “ApolloShadow” 태그를 활용해 관련 탐지 콘텐츠를 직접 검색할 수 있습니다.
SOC Prime 플랫폼 내 모든 규칙은 다수의 SIEM, EDR, 데이터 레이크 솔루션과 호환되며, MITRE ATT&CK® 프레임워크에 매핑되어 있습니다. 또한 각 규칙에는 위협 인텔 참조, 공격 타임라인, 탐지 후 조치 권고 사항 등 상세 메타데이터가 포함되어 있습니다.
더불어 보안 전문가들은 Uncoder AI를 활용해 위협 인지 탐지 엔지니어링을 위한 개인 IDE 및 코파일럿 환경을 구축할 수 있습니다. 원시 위협 보고서에서 탐지 알고리즘을 생성하고, 빠른 IOC 탐색을 지원하며, ATT&CK 태그 예측, AI 팁으로 쿼리 코드 최적화, 다중 SIEM·EDR·데이터 레이크 언어 간 변환 기능을 제공합니다. 예를 들어, 보안 담당자는 마이크로소프트의 최신 Secret Blizzard 활동 연구를 바탕으로 클릭 몇 번 만에 공격 흐름 다이어그램을 생성할 수 있습니다.
Secret Blizzard 활동 분석: ApolloShadow 악성코드를 이용한 사이버 스파이 캠페인
마이크로소프트 위협 인텔리전스 팀의 최근 분석에 따르면, 모스크바 내 외국 대사관을 겨냥한 정교한 사이버 스파이 작전이 확인되었습니다. 공격자들은 ISP(인터넷 서비스 제공자) 수준에서 AiTM 기법을 활용하여 ApolloShadow로 명명된 악성코드를 배포했습니다. 증거에 따르면 이 악성 행위는 최소 2024년부터 활동 중이며, 러시아 통신 인프라에 의존하는 외교 직원들에게 지속적인 보안 위협을 가하고 있습니다.
이 표적 캠페인은 연방보안국(FSB)과 연계된 것으로 알려진 러시아 APT 그룹 Secret Blizzard의 소행으로 추정됩니다. Turla, Waterbug, Venomous Bear, Snake, Iron Hunter, Krypton 등 다양한 별칭으로 추적되는 이 그룹은 정부 기관, 군사 기관, 외교 기관 등 고가치 표적에 대한 사이버 작전 수행으로 유명합니다. 맞춤형 악성코드와 전문 정찰 도구를 혼합 사용하며, CISA에 따르면 Secret Blizzard는 FSB 내 16센터와 직접적인 연관이 있어 그 전략적 성격이 더욱 부각됩니다.
최근 대사관 공격에서 Secret Blizzard는 피해자의 인터넷 연결을 스푸핑된 캡티브 포털을 통해 탈취하며 초기 접근을 확보합니다. 피해 기기가 합법적인 Windows 서비스로 인터넷 연결을 확인할 때, 사용자 몰래 공격자가 제어하는 도메인(마이크로소프트 테스트 페이지를 모방)으로 리다이렉션되어 ApolloShadow 악성코드를 시스템 업데이트로 위장하여 다운로드합니다.
배포된 ApolloShadow는 사용자에게 UAC(사용자 계정 컨트롤) 팝업을 띄워 권한 상승을 유도합니다. Kaspersky 설치 프로그램(CertificateDB.exe)으로 가장해 악성 루트 인증서를 설치하며, 이를 통해 공격자는 보안 통신을 가로채고 은밀하고 장기적인 시스템 접근을 유지합니다.
ApolloShadow는 Windows certutil을 사용해 악성 루트 인증서를 설치하고, 보조 스크립트(“wincert.js”)를 배포해 Mozilla Firefox도 가짜 인증서를 신뢰하도록 만듭니다. 이 환경은 공격자가 암호화된 트래픽을 복호화 및 감시할 수 있게 하여 민감 데이터를 탈취해도 즉각적인 경고가 발생하지 않도록 합니다.
만약 ApolloShadow가 관리자 권한을 감지하면, 시스템 레지스트리 설정을 변경해 네트워크를 사설로 분류하고, 방화벽 규칙을 완화하며, 하드코딩된 비밀번호가 설정된 숨겨진 관리자 계정(“UpdatusUser”)을 추가합니다. 이러한 조치로 지속적인 접근 권한을 확보하고, 내부 네트워크 내 측면 이동 가능성을 높입니다.
Secret Blizzard의 외교 기관 대상 공격 증가와 이들의 고도화된 회피 기법은 보안 담당자들의 신속하고 능동적인 대응을 요구합니다. SOC Prime 플랫폼은 보안 팀이 위협 탐지 및 헌팅 역량을 향상시키고 공격 표면을 크게 축소하며 견고한 사이버보안 태세를 구축할 수 있도록 최첨단 솔루션을 제공합니다.