APT28 해커들이 마이크로소프트 오피스의 심각한 취약점을 악용했습니다.

보안 연구업체 Zscaler ThreatLabz의 연구원들에 따르면, APT28 해킹 그룹의 'Operation Neusploit'이라는 작전은 마이크로소프트가 1월 26일에 CVE-2026-21509 취약점을 발표하고 패치한 지 불과 3일 만에 발견되었습니다.

이 취약점은 CVSS 점수 7.8로 매우 심각한 수준으로 평가되며, 공격자는 피해자가 매크로를 활성화하거나 경고 메시지를 표시하지 않고도 원격 코드를 실행할 수 있습니다. 이 취약점은 Microsoft Office가 특수하게 조작된 서식 있는 텍스트 형식(RTF) 파일을 처리하는 방식에 있습니다.

공격은 대상에 맞춰 영어, 루마니아어, 슬로바키아어, 우크라이나어로 정교하게 제작된 RTF 파일이 첨부된 피싱 이메일로 시작됩니다. 피해자가 파일을 열면 취약점이 즉시 활성화되어 해커 서버에서 드로퍼 DLL 파일이 다운로드됩니다.

특히, 해커들은 서버 측 필터링 기술을 사용하여, 목표 지역에서 발생한 요청에 올바른 User-Agent 헤더가 포함된 경우에만 악성 코드를 전송함으로써 조기 탐지를 피했습니다.

해당 공격 캠페인은 사용된 악성코드에 따라 두 가지 distinct한 감염 양상을 보였습니다. 첫 번째 양상은 마이크로소프트 아웃룩에서 이메일을 탈취하도록 설계된 경량 도구인 MiniDoor를 유포했습니다. MiniDoor는 윈도우 레지스트리를 조작하여 아웃룩의 특정 보안 기능을 비활성화한 후, 이메일을 몰래 수집하여 해커가 관리하는 주소로 전달했습니다.

두 번째 분기는 더 복잡하며, PixyNetLoader를 사용하여 COM 하이재킹을 통해 장기적인 접근 권한을 확보하고, 스테가노그래피를 이용해 PNG 이미지에 숨겨진 셸 코드를 추출한 다음, 마지막으로 Covenant Grunt 임플란트를 설치하여 해커가 전체 시스템을 원격으로 제어할 수 있게 합니다.

해당 해킹 그룹의 주요 공격 대상은 중부 및 동유럽, 특히 우크라이나, 루마니아, 슬로바키아, 그리고 폴란드, 슬로베니아, 그리스, 터키, 아랍에미리트(UAE), 볼리비아의 여러 기관들이었습니다. 가장 빈번하게 공격 대상이 된 분야는 국방, 교통, 외교 였습니다.

Trellix와 Zscaler ThreatLabz의 연구원들은 모두 이 캠페인이 합법적인 클라우드 서비스를 통신 채널로 사용하고 하드 드라이브에 흔적을 남기지 않는 파일리스 기법을 사용하는 등 정교하다고 칭찬했습니다.

Fancy Bear, Forest Blizzard, Sofacy 등으로도 알려진 APT28은 오랫동안 악명 높은 사이버 공격 그룹으로 알려져 있습니다. 취약점을 단 며칠 만에 무기화하는 속도는 이 그룹의 매우 빠른 대응 능력을 보여주며, 기업들이 시스템을 패치하는 데 필요한 시간을 크게 단축시킵니다.

마이크로소프트는 Office 2016, 2019, 2021, 2024 및 Microsoft 365용 긴급 패치를 출시했습니다. 최신 버전을 사용하는 사용자는 업데이트가 자동으로 적용되지만, 보호 기능이 완전히 적용되려면 애플리케이션을 다시 시작해야 합니다. 이전 버전을 사용하는 경우 수동으로 설치해야 합니다.

또한 해당 회사는 패치 프로세스가 완료될 때까지 공격 경로를 일시적으로 차단하기 위해 레지스트리를 편집하는 방법에 대한 지침도 제공합니다. 보안 전문가들은 조직과 개인 사용자 모두에게 즉각적인 업데이트를 우선시하고, 이메일 제어를 강화하고, 불필요한 매크로 실행을 제한하고, 비정상적인 Outlook 동작을 모니터링할 것을 권장합니다.

출처: https://vtcnews.vn/tin-tac-apt28-khai-thac-lo-hong-nghiem-trong-trong-microsoft-office-ar1001747.html