한글(HWP)문서 내부에 악성 파일을 삽입해 배포하는 북한 해킹 조직 APT37의 '아르테미스 작전'이 포착됐습니다.
22일 국내 정보보안 기업 지니언스 시큐리티센터는 북한 연계 해킹그룹 APT37의 새로운 사이버 공격 작전인 '아르테미스 작전'을 발견했다고 발표했습니다.
이번 작전에서 APT37은 한글(HWP) 문서에 악성 파일을 은밀하게 삽입하는 수법을 사용한 것으로 확인됐습니다. 미국 북한 전문 매체 38노스는 지난 10월 한글 문서가 북한 사이버 공격 그룹의 핵심 타깃이 되고 있다고 보도한 바 있습니다.
APT37은 공격 초기 단계에서 타인을 사칭하는 스피어 피싱 기법을 활용했습니다. 스피어피싱은 보통 금융기관이나 다른 공식 단체에서 보낸 메일로 위장해 개인정보를 불법적으로 악용하는 사기 수법입니다.
해킹그룹은 한글 문서를 통해 스피어 피싱을 실행했으며, 문서 내부에 숨겨진 악성 OLE 개체가 작동하면서 사용자 시스템에 대한 접근 권한을 획득했습니다.
침입에 성공한 후 위협 요소들은 스테가노그래피와 DLL 사이드 로딩 등 여러 기법을 동원해 실행 과정을 숨기고 보안 프로그램의 탐지망을 우회했습니다. 스테가노그래피는 JPEG 이미지 파일 안에 RoKRAT 악성코드를 숨겨서 전송하는 암호화 방식입니다.
APT37은 올해 7월부터 스테가노그래피 방식을 이용해 RoKRAT 모듈을 은밀하게 설치해왔습니다.
지니언스에 따르면, 8월부터는 기존에 보고되지 않았던 새로운 인물 사진들을 공격에 사용하기 시작했습니다.
DLL 로딩 공격에서는 마이크로소프트 시스템 관리 도구 모음의 시스템 유틸리티가 악용됐습니다. APT37은 실행 파일과 동일한 경로에 조작된 악성 DLL 파일을 설치해 프로그램이 이를 정상적인 DLL로 착각하여 로드하도록 만들었습니다.
APT37은 8월부터 11월까지 4개월 동안 지속적으로 해킹 공격을 고도화했습니다. 지난 8월 말에는 국회 국제회의 토론자 초청 요청서로 위장한 이메일을 발송하면서 사회적 신뢰도가 높은 특정 대학 교수의 신분을 사칭했습니다.
해당 이메일에는 '북한의민간인납치문제해결을위한국제협력방안(국제세미나).hwpx' 파일이 첨부되어 있었으며, 수신자의 관심 분야를 겨냥한 표적형 기만 전술이 사용됐습니다.
APT37은 또한 국내 주요 방송사 프로그램 작가를 사칭해 북한 체제와 인권 관련 인터뷰를 요청하고 여러 번의 신뢰 형성 대화를 나눈 후 악성 한글 문서를 전달하는 사례도 있었습니다.
서로 다른 방송 프로그램 소속 작가 두 명의 이름이 도용됐는데, 이는 피해자에게 사회공학적 신뢰감을 유도한 것으로 분석됩니다.
대학 교수나 방송사 작가 사칭 외에도 특정 논평이나 행사 관련 문서를 위조한 사칭 공격들이 다수 발견됐습니다.
한글 문서를 이용한 이러한 공격들은 문서 내부에 삽입된 OLE 개체를 하이퍼링크로 가장해 사용자가 직접 실행하도록 유도하는 방식을 사용합니다. 특히 방송사 작가 사칭 사례에서는 초기 접촉 시 악성링크나 첨부파일을 사용하지 않고 자연스러운 대화로 신뢰관계를 형성합니다.
이후 회신을 통해 반응을 보인 상대방에게만 추가로 인터뷰 요청서로 위장한 악성파일을 전송합니다.
지니언스는 "방송사 작가 명의를 활용한 공격 시나리오는 2023년 6월 초부터 활동이 포착됐다"며 "당시에는 북한이탈주민 초빙강의.zip 이름의 악성 압축파일이 유포됐다"고 설명했습니다.
그러면서 "APT37과 같이 전략적 목적을 기반으로 활동하는 위협 행위자는 탐지되지 않은 침해 시도, 끈질긴 APT 공격, 초기 정찰 활동 등 은밀하게 수행된 작전이 상당수 존재할 가능성이 높다"고 강조했습니다.