LNK, HWP, HWPX, XLSX, DOCX 등 다양한 타입의 악성 파일 이용
APT37 그룹의 ‘LNK’ 기반 공격 일환...보안 취약점도 결합해 공격
지난해 이태원 사고 대처상황 문서로 위장한 ‘CVE-2022-41128’ 취약점 공격의 연장선
[보안뉴스 김경애 기자] 북한의 해커조직 ‘APT37’ 공격이 포착됐다. ‘APT37’은 ‘북한 시장 물가 분석’ 제목 등으로 위장한 HWP, HWPX, DOCX, XLSX 파일 형식으로 악성파일을 유포했다. 특히 해당 악성파일은 CVE-2022-41128 취약점을 악용했는데, 이 취약점은 지난해 ‘이태원 사고 대처상황’ 문서로 위장한 취약점과 동일해 각별한 주의가 필요하다.
▲북한 시장 물가 분석자료로 위장한 해킹 메일 화면[자료=지니언스 시큐리티 센터]
지니언스 시큐리티 센터(이하 GSC)는 “북한 해커조직 APT37에 의한 HWP, HWPX 기반의 새로운 사이버 공격 징후를 다수 포착했다”며 “해당 공격은 지난 2023년 5월 전후부터 11월까지 계속 이어졌으며, 주로 한국에서 쓰이는 HWP 한글 문서에 악의적 ‘오브젝트 연결 삽입’(OLE)을 활용한 공격”이라고 분석했다.
공격자는 HWP 파일 내부에 삽입한 OLE를 통해 공격자가 지정한 명령제어(C&C) 서버로 연결을 시도한다. 이때 연결된 사이트에서 익스플로잇(Exploit) 명령이 호출되는 과정을 거친다.
이번 유형의 경우 HWP 확장자 뿐만 아니라 한컴에서 표준문서 형식으로 사용을 권장 중인 HWPX 포맷도 공격에 악용했다. 한컴 홈페이지 FAQ 자료에 따르면, HWPX는 한글(HWP) 문서의 콘텐츠를 표현할 수 있는 OWPML(개방형 워드프로세서 마크업 언어)로 개발된 파일형식으로 국가표준(KSX6101)으로 등록된 개방형 문서 포맷이다.
특히, HWP, HWPX 문서 유형뿐만 아니라 LNK, DOCX, XLSX 파일을 활용한 공격도 동시다발적으로 수행하는 등 공격자는 이번 공격을 효과적으로 감행하기 위해 다양한 전술적 방법을 시도한 것으로 드러났다.
APT37 그룹의 취약점 활용 공격 사례
APT37 그룹은 과거 다양한 취약점을 활용해 공격을 수행한 바 있다. 악용했던 대표적 취약점은 인터넷 익스플로러(IE) 제로데이 취약점이었던 ‘CVE-2022-41128’이다. 2022년 10월 말, 북한분야 전문가들이 멤버로 가입된 특정 모바일 메신저 단체 대화방을 중심으로 다수의 DOCX 악성 문서가 한국에 유포된 바 있다.
▲모바일 메신저로 유포된 CVE-2022-41128 공격 화면[자료=지니언스 시큐리티 센터]
이후 다양한 변종이 발견됐다. ‘용산 이태원 사고 대처상황’을 사칭한 악성 DOCX 문서의 경우 일부 내용이 언론에 기사화된 바 있다. 이처럼 공격자는 이메일 기반 스피어피싱 공격 전략과 함께 DOCX 원격 템플릿 인젝션 기법으로 보안 취약점을 결합해 공격했다. 이들은 악성 파일 유포 시 PC버전 모바일 메신저가 설치된 단말에 침투한 후, 피해자 계정에 몰래 접근해 특정 대화방 내 여러 사람들에게 악성 문서를 단계별로 유포했다.
이와 관련 지니언스 시큐리티 센터 문종현 센터장은 “2023년에도 APT37 공격 그룹의 위협 활동 범위는 매우 넓었다”며 “특히, HWPX 문서 파일에 악성 OLE 개체를 삽입한 후 CVE-2022-41128 취약점을 결합한 공격도 감행됐다”고 분석했다.
이어 문 센터장은 “이들은 이메일 기반의 스피어피싱 공격뿐만 아니라, 한국내 유명 모바일 및 PC용 메신저를 통해 1:1 또는 단체 대화방에 악성 문서를 전달하는 방식을 사용하기 때문에 평소 알고 지낸 지인이 보낸 파일도 항시 의심하고 주의해야 한다”며 “이처럼 엔드포인트에서 발생하는 맞춤형 위협을 조기에 탐지하고 능동적으로 대응하기 위해 EDR 솔루션 등을 통한 적극적인 단말기 보안이 요구된다”고 설명했다.
[김경애 기자(boan3@boannews.com)]
APT37 그룹의 ‘LNK’ 기반 공격 일환...보안 취약점도 결합해 공격
지난해 이태원 사고 대처상황 문서로 위장한 ‘CVE-2022-41128’ 취약점 공격의 연장선
[보안뉴스 김경애 기자] 북한의 해커조직 ‘APT37’ 공격이 포착됐다. ‘APT37’은 ‘북한 시장 물가 분석’ 제목 등으로 위장한 HWP, HWPX, DOCX, XLSX 파일 형식으로 악성파일을 유포했다. 특히 해당 악성파일은 CVE-2022-41128 취약점을 악용했는데, 이 취약점은 지난해 ‘이태원 사고 대처상황’ 문서로 위장한 취약점과 동일해 각별한 주의가 필요하다.
▲북한 시장 물가 분석자료로 위장한 해킹 메일 화면[자료=지니언스 시큐리티 센터]
지니언스 시큐리티 센터(이하 GSC)는 “북한 해커조직 APT37에 의한 HWP, HWPX 기반의 새로운 사이버 공격 징후를 다수 포착했다”며 “해당 공격은 지난 2023년 5월 전후부터 11월까지 계속 이어졌으며, 주로 한국에서 쓰이는 HWP 한글 문서에 악의적 ‘오브젝트 연결 삽입’(OLE)을 활용한 공격”이라고 분석했다.
공격자는 HWP 파일 내부에 삽입한 OLE를 통해 공격자가 지정한 명령제어(C&C) 서버로 연결을 시도한다. 이때 연결된 사이트에서 익스플로잇(Exploit) 명령이 호출되는 과정을 거친다.
이번 유형의 경우 HWP 확장자 뿐만 아니라 한컴에서 표준문서 형식으로 사용을 권장 중인 HWPX 포맷도 공격에 악용했다. 한컴 홈페이지 FAQ 자료에 따르면, HWPX는 한글(HWP) 문서의 콘텐츠를 표현할 수 있는 OWPML(개방형 워드프로세서 마크업 언어)로 개발된 파일형식으로 국가표준(KSX6101)으로 등록된 개방형 문서 포맷이다.
특히, HWP, HWPX 문서 유형뿐만 아니라 LNK, DOCX, XLSX 파일을 활용한 공격도 동시다발적으로 수행하는 등 공격자는 이번 공격을 효과적으로 감행하기 위해 다양한 전술적 방법을 시도한 것으로 드러났다.
APT37 그룹의 취약점 활용 공격 사례
APT37 그룹은 과거 다양한 취약점을 활용해 공격을 수행한 바 있다. 악용했던 대표적 취약점은 인터넷 익스플로러(IE) 제로데이 취약점이었던 ‘CVE-2022-41128’이다. 2022년 10월 말, 북한분야 전문가들이 멤버로 가입된 특정 모바일 메신저 단체 대화방을 중심으로 다수의 DOCX 악성 문서가 한국에 유포된 바 있다.
▲모바일 메신저로 유포된 CVE-2022-41128 공격 화면[자료=지니언스 시큐리티 센터]
이후 다양한 변종이 발견됐다. ‘용산 이태원 사고 대처상황’을 사칭한 악성 DOCX 문서의 경우 일부 내용이 언론에 기사화된 바 있다. 이처럼 공격자는 이메일 기반 스피어피싱 공격 전략과 함께 DOCX 원격 템플릿 인젝션 기법으로 보안 취약점을 결합해 공격했다. 이들은 악성 파일 유포 시 PC버전 모바일 메신저가 설치된 단말에 침투한 후, 피해자 계정에 몰래 접근해 특정 대화방 내 여러 사람들에게 악성 문서를 단계별로 유포했다.
이와 관련 지니언스 시큐리티 센터 문종현 센터장은 “2023년에도 APT37 공격 그룹의 위협 활동 범위는 매우 넓었다”며 “특히, HWPX 문서 파일에 악성 OLE 개체를 삽입한 후 CVE-2022-41128 취약점을 결합한 공격도 감행됐다”고 분석했다.
이어 문 센터장은 “이들은 이메일 기반의 스피어피싱 공격뿐만 아니라, 한국내 유명 모바일 및 PC용 메신저를 통해 1:1 또는 단체 대화방에 악성 문서를 전달하는 방식을 사용하기 때문에 평소 알고 지낸 지인이 보낸 파일도 항시 의심하고 주의해야 한다”며 “이처럼 엔드포인트에서 발생하는 맞춤형 위협을 조기에 탐지하고 능동적으로 대응하기 위해 EDR 솔루션 등을 통한 적극적인 단말기 보안이 요구된다”고 설명했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
