북한 시장 물가 분석 문서 등으로 위장된 공격 사례
Contents
◈ 주요 요약 (Executive Summary)
● LNK, HWP, HWPX, XLSX, DOCX 등 다양한 타입의 악성 파일을 이용한 공격 탐지
● [APT37] 그룹의 'LNK' 기반 공격의 연장선으로 사용 됨과 동시에 보안 취약점 결합
● 작년 이태원 사고 대처상황 문서로 위장한 'CVE-2022-41128' 취약점 공격의 연장선
● Genian EDR 기반으로 한 알려지지 않은 취약점 공격 탐지 및 신속한 위협 식별 요구
1. 개요 (Overview)
1.1. 배경 (Background)
○ 지니언스 시큐리티 센터(이하 GSC)는 HWP, HWPX 기반의 새로운 유형의 APT37 공격 징후를 다수 포착했습니다. 이 공격은 지난 2023년 5월 전후부터 11월까지 계속 이어졌으며, 주로 한국에서 쓰이는 HWP 한글 문서에 악의적 '오브젝트 연결 삽입'(OLE)을 활용한 공격입니다. APT37 HWP 공격과 더불어 Kimsuky HWP 공격 분석 내용은 11월달 지니언스 보고서를 통해 참고할 수 있습니다.1
○ 공격자는 HWP 파일 내부에 삽입한 OLE를 통해 공격자가 지정한 명령제어(C2) 서버로 연결을 시도하는데, 이때 연결된 사이트에서 Exploit 명령이 호출되는 과정을 거칩니다. 이번 보고서는 과거 캠페인과 최신 공격에서 관찰된 도구, 전술 및 절차(TTPs)를 다루는 포괄적인 분석을 제공하며, 한국에서 발생 중인 실제 위협 …
● LNK, HWP, HWPX, XLSX, DOCX 등 다양한 타입의 악성 파일을 이용한 공격 탐지
● [APT37] 그룹의 'LNK' 기반 공격의 연장선으로 사용 됨과 동시에 보안 취약점 결합
● 작년 이태원 사고 대처상황 문서로 위장한 'CVE-2022-41128' 취약점 공격의 연장선
● Genian EDR 기반으로 한 알려지지 않은 취약점 공격 탐지 및 신속한 위협 식별 요구
1. 개요 (Overview)
1.1. 배경 (Background)
○ 지니언스 시큐리티 센터(이하 GSC)는 HWP, HWPX 기반의 새로운 유형의 APT37 공격 징후를 다수 포착했습니다. 이 공격은 지난 2023년 5월 전후부터 11월까지 계속 이어졌으며, 주로 한국에서 쓰이는 HWP 한글 문서에 악의적 '오브젝트 연결 삽입'(OLE)을 활용한 공격입니다. APT37 HWP 공격과 더불어 Kimsuky HWP 공격 분석 내용은 11월달 지니언스 보고서를 통해 참고할 수 있습니다.1
○ 공격자는 HWP 파일 내부에 삽입한 OLE를 통해 공격자가 지정한 명령제어(C2) 서버로 연결을 시도하는데, 이때 연결된 사이트에서 Exploit 명령이 호출되는 과정을 거칩니다. 이번 보고서는 과거 캠페인과 최신 공격에서 관찰된 도구, 전술 및 절차(TTPs)를 다루는 포괄적인 분석을 제공하며, 한국에서 발생 중인 실제 위협 …