북한과 연계된 APT37 해킹그룹이 한글(HWP) 문서 내부에 악성 파일을 심는 ‘아르테미스 작전’을 수행한 사실이 확인됐다.
22일 지니언스 시큐리티센터는 APT37 그룹이 최근 수행한 아르테미스 작전을 식별했다고 밝혔다.
공격은 타인을 사칭한 스피어 피싱으로 시작된다.
피해자에게 전달된 한글 문서에는 악성 OLE 개체가 내장돼 있으며, 사용자가 이를 실행하면 시스템 접근 권한을 빼앗긴다.
침투 이후에는 JPEG 이미지 안에 RoKRAT 악성 파일을 숨기는 스테가노그래피 기법과 DLL 사이드 로딩을 복합적으로 활용해 보안 프로그램 탐지를 우회한다.
APT37은 7월부터 이 기법으로 RoKRAT 모듈을 은밀히 적재해왔으며, 8월부터는 이전에 보고되지 않은 인물 사진을 공격에 사용했다.
DLL 로딩은 마이크로소프트 시스템 관리 도구의 유틸리티를 악용해 악성 DLL을 정상 파일로 오인하게 하는 방식이다.
APT37은 8월부터 11월까지 4개월간 공격을 지속적으로 고도화했다.
8월 말에는 국회 국제회의 토론자 초청 요청서로 위장한 이메일을 보내 특정 대학 교수를 사칭하며 ‘북한의민간인납치문제해결을위한국제협력방안(국제세미나).hwpx’ 파일을 첨부했다.
유사하게 국내 주요 방송사 프로그램 작가를 사칭해 북한 체제와 인권 관련 인터뷰를 제안한 뒤 신뢰를 쌓고 악성 한글 문서를 전달한 사례도 다수 포착됐다.
두 명의 다른 방송 프로그램 작가 이름이 도용됐으며, 이는 피해자에게 사회적 신뢰를 유도하기 위한 표적형 기만전술로 분석된다.
공격 방식은 문서 내 OLE 개체를 하이퍼링크로 위장해 사용자가 직접 실행하도록 유도한다.
방송사 작가 사칭 사례에서는 초기 접촉 시 악성 링크나 파일 없이 자연스러운 대화로 신뢰를 형성한 뒤, 상대가 회신하면 인터뷰 요청서로 위장한 악성 파일을 전달했다.
지니언스는 “방송사 작가 명의를 활용한 공격 시나리오는 2023년 6월 초부터 포착됐다”며 “당시에는 북한이탈주민 초빙강의.zip 이름의 악성 압축파일이 유포됐다”고 밝혔다.
이어 “APT37과 같이 전략적 목적을 가진 위협 행위자는 탐지되지 않은 침해 시도, 끈질긴 APT 공격, 초기 정찰 활동 등 은밀하게 수행된 작전이 상당수 존재할 가능성이 높다”고 강조했다.