lazarusholic

2025-12-21, Genians
https://www.genians.co.kr/blog/threat_intelligence/dll
#APT37 #Artemis

◈ 주요 결과 (Key Findings)
- 한국 방송 프로그램 작가 등을 사칭… 출연 섭외나 인터뷰 명목으로 초기 접근
- 간략한 자기소개와 정상적 안내 문구를 활용해 신뢰 확보를 유도
- 사전 인터뷰 질문지 또는 행사 안내 문서로 위장한 악성 HWP 파일을 전달
- HWP 초기 실행과 DLL 사이드 로딩을 결합해 패턴 탐지 우회 전략을 구사
- 비정상 이상행위 탐지를 위해 실시간 모니터링 기반 EDR 도입이 필수적
1. 개요 (Overview)
지니언스 시큐리티 센터(Genians Security Center)는 APT37 그룹이 수행한 '아르테미스(Artemis)' 작전 캠페인을 식별했습니다. 위협 행위자는 HWP 문서 내부에 악성 OLE 개체를 은밀하게 삽입하는 방식을 활용했습니다. 사용자가 문서 내용을 신뢰하고 하이퍼 링크를 클릭하면 공격 체인이 시작되도록 설계되어 있습니다.
[그림 1-1] 공격 흐름 개요도
해당 OLE 개체가 로드될 경우, 위협 행위자는 정상 프로세스를 먼저 실행하는 위장 기법을 사용했습니다. 이러한 다단계 절차는 합법적 프로세스 흐름을 악용해 시그니처 기반 보안 제품의 의심 탐지를 회피하는 효과를 노립니다. 이후 정상 프로세스의 실행 컨텍스트를 기반으로 최종적으로 악성 DLL을 호출하여 페이로드를 구동합니다.
이는 초기 실행과 권한 상승을 교묘하게 결합해 탐지를 우회하려는 …

[email protected]
d2b2c6646535a62e4c005613d6a036f0
2f3dff7779795fc01291b0a31d723aca
e726b59f96ab8360f323469d72b8b617
ea95109b608841d2f99a25bd2646ff43
8e4a99315a3ef443928ef25d90f84a09
a196fb11a423076f66f5e4b2d02813a9
ad3433f5f64abdec7868a52341f14196
31662a24560b3fe1f34f0733e65509ff
c0cac70c93d213d113001e3410c24fd2
f13a4834e3e1613857b84a1203e2e182
f3603f68aadc8bc1ea8939132f0d5252
17171c644307b17d231ad404e25f08b1
d287dcaeaf17c9dae8a253994502ee58
7e8c24bb3b50d68227ff2b7193d548dd