고스트라이터, 프로메테우스 피싱 악성코드로 우크라이나 정부 기관 겨냥
출처: The Hacker News
Ravie Lakshmanan2026년 5월 22일 · 악성코드 / 인공지능
벨라루스와 연계된 위협 행위자 Ghostwriter(UAC-0057 및 UNC1151, 우크라이나 국가 안보·방위 위원회) 가 우크라이나 온라인 학습 플랫폼인 Prometheus와 관련된 미끼를 사용해 현지 정부 기관을 표적으로 삼고 있는 것으로 관찰되었습니다.
우크라이나 컴퓨터 비상 대응팀(CERT‑UA)에 따르면, 이 행위자는 침해된 계정을 이용해 정부 기관에 피싱 메일을 발송하고 있습니다. 2026년 봄부터 활동을 시작한 것으로 알려졌습니다.
“일반적으로 메일에는 PDF 첨부 파일이 포함되어 있으며, 해당 파일 안의 링크를 클릭하면 ZIP 압축 파일이 다운로드되고, 그 안에 JavaScript 파일이 들어 있습니다.”라고 기관은 목요일 보고서에서 언급했습니다.
이 JavaScript 파일은 OYSTERFRESH 라는 이름으로 불리며, 위장 문서를 표시해 사용자를 현혹하는 동시에 Windows 레지스트리에 OYSTERBLUES 라는 난독화·암호화된 페이로드를 은밀히 기록하고, OYSTERSHUCK 을 다운로드·실행합니다. OYSTERSHUCK 은 OYSTERBLUES 를 복호화하는 역할을 합니다.
OYSTERBLUES 는 컴퓨터 이름, 사용자 계정, OS 버전, 마지막 부팅 시각, 실행 중인 프로세스 목록 등 광범위한 시스템 정보를 수집합니다. 수집된 데이터는 HTTP POST 요청을 통해 명령·제어(C2) 서버로 전송됩니다.
그 후 추가적인 응답을 기다리며, 다음 단계의 JavaScript 코드를 eval() 함수(https://developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/Global_Objects/eval)를 이용해 실행합니다. 최종 페이로드는 Cobalt Strike 로 판단되며, 이는 포스트 익스플로잇 활동에 널리 악용되는 적대 시뮬레이션 프레임워크입니다.
“이 사이버 위협이 악용될 가능성을 낮추기 위해서는, 특히 표준 사용자 계정에 대해 wscript.exe 실행 권한을 제한하는 등 기본적인 공격 표면 축소 방안을 적용하는 것이 권고됩니다.”라고 CERT‑UA는 밝혔습니다.
이번 공개는 우크라이나 국가 안보·방위 위원회가 러시아가 인공지능(AI) 도구(예: OpenAI ChatGPT, Google Gemini)를 활용해 목표를 탐색하고, 악성코드에 AI를 **내장**해 런타임에 악성 명령을 생성한다는 사실과 맞물립니다. 위원회는 크렘린 지원 해킹 그룹이 정보 수집 및 장기적인 네트워크 점유를 목표로 사이버 공격을 수행하고, 이를 통해 선전 활동을 지원하고 있다고 지적했습니다.
“2025년 주요 침투 경로는 사회공학, 취약점 악용, 침해된 RDP·VPN 계정 사용, 공급망 공격, 설치 단계에서 이미 백도어가 포함된 불법 소프트웨어 사용이었습니다.”라고 위원회는 말했습니다. “공격자는 민감 정보 탈취, 통신 가로채기, 목표 위치 추적에 집중했습니다.”
관련된 다른 소식으로, **뉴욕 타임스**가 보도한 바에 따르면, 친크렘린 선전 캠페인이 2024년부터 실제 Bluesky 사용자 계정을 탈취해 가짜 콘텐츠를 게시해 왔습니다. 탈취된 계정에는 언론인과 교수도 포함돼 있었으며, 이 행위는 모스크바 기반 Social Design Agency(https://thehackernews.com/2024/11/ai-powered-fake-news-campaign-targets.html)와 연관된 Matryoshka 캠페인에 기인한 것으로 알려졌습니다. 일부 경우 Bluesky는 계정 소유자가 비밀번호 재설정을 진행할 때까지 계정을 일시 정지했습니다.
이 기사 흥미로우셨나요? 더 많은 독점 콘텐츠를 보려면 Google News, [Twitter](https://twitter