Menu
NO.1: 더 배트맨
NO.2: 배트맨
NO.3: 배트맨 ott
NO.4: 배트맨 pc버전
NO.5: 배트맨 다크나이트
NO.6: 배트맨 레고
NO.7: 배트맨 배우
NO.8: 배트맨 시리즈
NO.9: 배트맨 영화
NO.10: 배트맨 이스터에그
NO.11: 배트맨 조커
NO.12: 배트맨 피규어
NO.13: 배트맨토토
NO.14: 배트맨토토 배당률보기
NO.15: 배트맨티비
NO.16: 와이즈토토
문서 내 악성 OLE 은폐
“EDR 방어 체계 갖춰야” APT37 해킹그룹의 공격 흐름 개요도.지니언스 제공 
북한 정부가 지원하는 APT37 해킹그룹이 국내에서 자주 쓰이는 문서 포맷 한글(HWP)을 노린 사이버 위협을 시도하는 것으로 나타났다.유명 대학 교수나 한국 방송 프로그램 작가를 사칭해 섭외하는 과정에서 위장한 악성 한글 파일을 전달하는 공격 수법을 썼다.
지니언스 시큐리티센터는 22일 발표한 위협 인텔리전스 보고서를 통해 APT37 해킹그룹이 지난 8월부터 3개월간 시도한‘아르테미스’(Artemis) 수법을 포착했다고 밝혔다.
이 공격 수법을 보면 한글 문서 내부에 악성 OLE(object linking and embedding) 개체를 은밀하게 삽입 후 하이퍼링크로 위장해 사용자가 직접 실행하도록 유도했다.정상 프로그램으로 인식한 사용자가 문서 내용을 자연스럽게 확인하도록 한 것이다.
이 해커그룹은 스테가노그래피와 DLL 사이드 로딩 등 복합 기법을 활용해 실행 흐름을 은폐하면서 보안프로그램의 탐지를 피했다.스테가노그래피는 JPEG 이미지 내부에 RoKRAT 악성 파일을 숨겨 전달하는 암호화 기법을 의미한다.DLL 사이드 로딩은 악성 DLL 파일을 앱의 실행 디렉터리에 배치해 해당 앱이 악성 DLL을 정상 DLL로 착각하고 로드하도록 속이는 수법을 뜻한다.
이 해킹그룹은 지난 7월부터 스테가노그래피 기법을 활용해 RoKRAT 모듈을 은밀하게 적재했다.8월부터는 이전까지 보고된 적 없는 인물 사진을 공격에 활용하기도 했다. 토론 참석 요청으로 위장된 메일 화면 예시.지니언스 제공 
실제로 해당 공격 사례를 보면 지난 8월 말 APT37그룹은 국회 국제회의 토론자 초청 요청서로 가장한 이메일을 발송하며 사회적 신뢰도가 높은 특정 대학 교수의 신원을 사칭했다.해당 이메일에는‘북한의민간인납치문제해결을위한국제협력방안(국제세미나).hwpx’파일을 첨부했다.수신자의 관심 분야를 고려한 표적형 기만 전술을 사용했다.
국내 주요 방송사 프로그램의 작가를 사칭한 사례도 있었다.북한 체제 및 인권과 관련된 인터뷰를 요청하면서 여러 차례 신뢰 형성 대화를 진행한 뒤 악성 한글 문서를 전달했다.초반에는 악성링크나 첨부파일을 사용하지 않고 자연스러운 대화를 통해 신뢰를 형성했다.이후 회신할 경우 추가적으로 인터뷰 요청서로 위장한 악성파일을 전달했다.
지니언스 관계자는 “미국의 북한 전문 매체인 38노스도 10월에 한글 문서가 북한의 사이버 공격 그룹의 주요 공격 대상으로 자리잡았다고 보도했다”며 “APT37 그룹의 은닉 전략에 효과적으로 대응하기 위해 엔드포인트탐지·대응(EDR) 기반의 다층적 방어 체계를 갖춰야 한다”고 말했다.
