HWP 문서 내부에 악성 OLE 삽입 공격: FlowerPower APT 캠페인 Github C2 사용
Contents
◈ 주요 요약 (Executive Summary)
- 외신 뉴스 채널 인터뷰 등으로 현혹 접근해, 악성 OLE 포함 HWP 문서 전달 방식 사용
- FlowerPower APT 공격 도구 시리즈를 활용한 암호화된 PowerShell 명령어 실행
- 개발 버전 관리와 협업을 위한 코드 호스팅 플랫폼 깃허브를 위협 명령 거점으로 설정
- Genian EDR 솔루션으로 위협 가시성 확보 및 조기 탐지를 통한 피해 최소화 효과
1. 개요 (Overview)
1.1 배경 (Background)
○ 지니언스 시큐리티 센터(이하 GSC)는 10월 초 외신 뉴스 채널의 인터뷰 요청으로 위장된 새로운 한국 맞춤형 지능형지속위협(APT) 공격 징후를 포착했습니다. 주로 한국에서 쓰이는 HWP 한글 문서에 악의적 '오브젝트 연결 삽입'(OLE)을 활용한 공격입니다. OLE와 관련된 내용은 한컴사의 도움말을 참고할 수 있습니다.1
○ 상세 분석을 진행하던 과정에, 안랩 ASEC 역시 '악성 OLE 개체가 삽입된 한글 문서 주의' 제목의 블로그 포스팅을 등록한 바 있습니다. 2 GSC도 해당 위협 사례를 파악해 면밀히 조사중이며, 위협 배후가 사용한 공격 툴이 'FlowerPower' 시리즈의 새로운 형태임을 확인했습니다. 더불어 APT37 그룹은 보안 취약점을 접목한 HWP 공격도 수행 중입니다. 이 내용은 다음에 …
- 외신 뉴스 채널 인터뷰 등으로 현혹 접근해, 악성 OLE 포함 HWP 문서 전달 방식 사용
- FlowerPower APT 공격 도구 시리즈를 활용한 암호화된 PowerShell 명령어 실행
- 개발 버전 관리와 협업을 위한 코드 호스팅 플랫폼 깃허브를 위협 명령 거점으로 설정
- Genian EDR 솔루션으로 위협 가시성 확보 및 조기 탐지를 통한 피해 최소화 효과
1. 개요 (Overview)
1.1 배경 (Background)
○ 지니언스 시큐리티 센터(이하 GSC)는 10월 초 외신 뉴스 채널의 인터뷰 요청으로 위장된 새로운 한국 맞춤형 지능형지속위협(APT) 공격 징후를 포착했습니다. 주로 한국에서 쓰이는 HWP 한글 문서에 악의적 '오브젝트 연결 삽입'(OLE)을 활용한 공격입니다. OLE와 관련된 내용은 한컴사의 도움말을 참고할 수 있습니다.1
○ 상세 분석을 진행하던 과정에, 안랩 ASEC 역시 '악성 OLE 개체가 삽입된 한글 문서 주의' 제목의 블로그 포스팅을 등록한 바 있습니다. 2 GSC도 해당 위협 사례를 파악해 면밀히 조사중이며, 위협 배후가 사용한 공격 툴이 'FlowerPower' 시리즈의 새로운 형태임을 확인했습니다. 더불어 APT37 그룹은 보안 취약점을 접목한 HWP 공격도 수행 중입니다. 이 내용은 다음에 …