러시아, 중국 및 인도 APT해킹그룹들이 RTF Template Injection이라고 불리는 새로운 사이버 공격 방식을 활용하고 있다.

사이버 공격자들은 이같은 공격 방식을 통해 더욱 더 어려운 공격을 감행할 수 있으며, 보안전문가들의 탐지를 우회할 수 있다.

RTF 템플릿 인젝션(Template Injection) 공격은 자체적으로 새로운 것이 아니라, 수년 동안 존재한 패턴 기반 공격 방식의 변형이다. 해당 공격 방식은 사전에 정해진 템플릿을 통해 문서를 작성할 수 있는 Microsoft Office 기능을 기반으로 수행된다. 템플릿은 원격 템플릿 인젝션(remote template injections)으로 알려진 공격 중에 로컬에 저장되거나, 원격 서버에서 다운될 수 있다.

공격자들은 악성코드가 포함된 Microsoft Office doc., xls. 및 pptx. 파일을 잠재적 피해자들에게 발송할 수 있다. 파일은 안전한 것처럼 보이지만, 실제로는 Microsoft Office 응용 프로그램에서 콘텐츠를 표시해야 할 때, 템플릿 기능을 통해 악성코드를 실행한다.

Proofpoint 정보보안 전문가들의 의견에 따르면, 만일 공격자들이 공격 중에 Microsoft Word 파일을 사용했다면, 대체로 원격 URL주소의 템플릿을 통해 콘텐츠를 구성 기능을 지원하는 Windows RTF 파일을 받았을 것이다. 이와 같은 새로운 사이버 공격 방식으로 TA423, Gamaredon 그리고 DoNoT APT해킹그룹이 무장했다. 악성코드가 포함된 템플릿과 함께 RTF 파일을 활용한 TA423 그리고 DoNoT APT해킹그룹은 2021년 3월 가장 먼저 해당 방식으로 공격을 감행하기 시작했다.

아울러, 해당 사이버 공격 방식을 활용하는 APT해킹그룹의 수가 한정되어 있으나, 활용 편의성과 효율성은 위협 환경 전반에 걸쳐 확산될 가능성이 높다. [정보제공. 씨엔시큐리티 SIPS]

★정보보안 대표 미디어 데일리시큐!★