우크라이나, 슬로바키아, 루마니아 등 동유럽 국가가 주요 표적
RTF 파일을 이메일 첨부 형태로 유포... 문서 여는 즉시 취약점 자동 작동

러시아와 연계된 해킹 조직 APT28이 마이크로소프트(MS) 오피스의 제로데이 취약점을 악용한 대규모 공격 캠페인을 전개하고 있는 것으로 드러났다.

이번 공격은 ‘오퍼레이션 노이플로이트’(Operation Neusploit)로 명명됐으며, 우크라이나, 슬로바키아, 루마니아 등 동유럽 국가를 주요 표적으로 삼았다. 공격자들은 정교하게 제작된 RTF(Rich Text Format) 파일을 이메일 첨부 형태로 유포했으며, 사용자가 문서를 여는 즉시 취약점이 자동으로 작동하는 방식이다.

별도의 추가 조작 없이도 원격 코드 실행이 가능해 공격자는 피해 시스템에 대한 광범위한 제어 권한을 확보할 수 있다.

보안 기업 지스케일러(Zscaler) 분석팀은 공격에 사용된 도구와 전술, 기법이 기존 APT28의 활동 양상과 전반적으로 일치한다는 점을 근거로 배후 세력으로 APT28을 지목했다.

특히 MS가 이 취약점에 대한 긴급 보안 업데이트를 발표한 지 불과 3일 만에 실제 공격이 발생해 패치 공백에 대한 우려를 키웠다.

이번 캠페인에는 이메일 정보 탈취를 목적으로 한 ‘미니도어’(MiniDoor) 악성코드가 활용됐다. 미니도어는 아웃룩(Outlook) 로그인 이벤트를 실시간 감시하고, 사용자 받은편지함의 내용을 공격자 서버로 전송하는 기능을 수행한다. 공격자들은 윈도우 레지스트리를 변조해 아웃룩 보안 설정을 비활성화하고, 악성 매크로가 자동 실행되도록 조작했다.

또 ‘픽시넷로더’(PixyNetLoader)를 이용해 명령·제어(C2) 인프라를 구축하고, 추가 명령 수행을 위한 기반도 마련했다. 공격 서버는 특정 지역에서 접속하고 정상적 HTTP 헤더를 포함한 요청에만 악성 파일을 전달하는 선별적 배포 방식을 적용해, 보안 분석과 탐지를 회피한 것으로 분석됐다.

이번에 악용된 취약점(CVE-2026-21509)은 위험도가 ‘매우 심각’으로 분류돼 주의가 요구된다. 공격에 사용된 이메일은 현지 언어와 영어를 혼용해 수신자의 경계심을 낮추는 방식으로 작성됐다.

보안 전문가들은 최신 오피스 보안 업데이트를 신속히 적용하고, 출처가 불분명한 문서 파일에 각별한 주의를 기울일 것을 권고했다.

[출처 : 보안뉴스]