북한과 연계된 해킹그룹 APT37이 한글(HWP) 문서 내부에 악성 파일을 삽입하는 ‘아르테미스 작전’을 포착했다. 지니언스 시큐리티센터는 22일 이 작전을 식별했다. 초기 침투 시 타인을 사칭하는 스피어 피싱이 활용됐으며, 문서 내 악성 OLE 개체가 실행되면서 사용자 환경에 대한 접근 권한을 확보한다. 지난 7월부터 APT37은 스테가노그래피를 악용해 RoKRAT 악성 파일을 은밀하게 적재하고 있다.
스테가노그래피는 JPEG 이미지 내부에 RoKRAT 악성 파일을 숨겨 전달하는 기법으로, 보안프로그램도 이를 탐지하지 못했다. 지니언스는 지난 8월부터 이전까지 보고된 적 없는 인물 사진을 공격에 활용했다고 전했다. 북한해킹그룹은 지난 8월 말 국회 국제회의 토론자 초청 요청서로 특정 대학 교수의 신원을 사칭해 이메일을 발송했고, 첨부파일로 ‘북한의민간인납치문제해결을위한국제협력방안(국제세미나).hwpx’를 포함했다.
이 이메일은 수신자의 관심 분야를 고려한 표적형 기만전술을 사용했다. 북한해킹그룹은 국내 주요 방송사 프로그램 작가를 사칭해 북한 체제와 인권 관련 인터뷰를 요청하는 전략도 사용했다. 초기 접촉 단계에서 악성링크나 첨부파일을 사용하지 않고 자연스러운 대화로 신뢰를 형성한 후, 회신을 통해 반응을 보이면 인터뷰 요청서로 위장한 악성파일을 전달한다. 이들은 지난 8~11월 4개월간 연속적으로 해킹 공격을 고도화했다.
DLL사이드 로딩 기법도 활용했으며, 마이크로소프트 시스템 관리 도구 모음의 시스템 유틸리티를 악용해 실행 파일과 동일한 경로에 조작된 악성 DLL을 배치했다. 프로그램이 이를 정상 DLL로 오인해 로드하도록 유도했다. 이러한 기법들은 실행 흐름을 은폐하고 보안프로그램의 탐지를 회피했다. 미국의 북한 전문 매체 38노스는 지난 10월 한글 문서가 북한의 사이버 공격 대상으로 지목된다고 보도했다.
북한해킹그룹은 지난 7월부터 스테가노그래피 기업을 이용해 RoKRAT 모듈을 은밀하게 심어왔다.
지난 8월 APT37은 국제회의 토론자 초청 요청서로 가장해 이메일을 발송했다. 그 이메일은 사회적 신뢰도가 높은 한 대학 교수 신원을 사칭했다.
@Meerae AI 빅데이터 연구소 meerae.info@gmail.com