ASEC 분석팀은 지난 3월 22일, 대북관련 내용을 포함하고 있는 악성 DOC(워드) 문서에 대해 소개하였다. 해당 유형은 문서 내부 XML 파일에 작성된 “외부 External 연결 주소” 로 접속하여 추가 파일을 다운로드 받는 구조이다.
최근 해당 방식을 이용한 악성 워드문서가 유포 중임을 포착하였으며, 군사안보 월간지 (4월호) 를 위장하였다. 현재 유포 중인 파일명은 아래와 같다.
- 월간KIMA2021_4월호군사안보0330.docx
- 월간KIMA2021_4월호군사안보0331.docx
문서 파일은 실행 시 본문 내용이 보호되어 있는 상태이며, 보호 해제 시 다음과 같은 본문 내용을 확인할 수 있다.


해당 문서에서 접속하는 악성 External 주소는 아래와 같다.
- Target=”hxxp://beilksa.scienceontheweb.net/cookie/select/log/tmp?q=6″ TargetMode=”External”/>
확인된 2개의 워드 문서 속성에서 확인 가능한 수정 날짜와 만든이 정보는 아래와 같다.

실제 정상적으로 배포된 문서는 아래의 그림과 같이 PDF 형태로 제공되고 있는 것을 확인할 수 있다.

최근 대북과 관련된 문서 내용을 포함하고 있는 악성 워드 문서가 다수 유포 중이며, 북한 관련 업무를 수행하는 수신자에게 보내졌을 가능성이 매우 크다. 스팸 메일을 통한 사회공학적 기법의 공격이 다수 증가한 만큼 사용자들은 이러한 공격에 피해가 발생하지 않도록 주의를 기울여야 한다.
현재 V3 제품에서는 해당 파일에 대해 아래와 같이 진단하고 있다.
[파일 진단]
- Downloader/DOC.External (2021.04.03.00)
[IOC]
- 월간KIMA2021_4월호군사안보0331.docx (md5: fe4dd316363d3631c83c2995dd3775f4)
- 월간KIMA2021_4월호군사안보0330.docx (md5: 609c2473571bf703ce985b6e44b8e343)
- hxxp://beilksa.scienceontheweb.net/cookie/select/log/tmp?q=6
[관련 블로그]

대북관련 본문 내용의 External 링크를 이용한 악성 워드 문서 – ASEC BLOG
ASEC 분석팀에서는 다양한 형태의 문서형 악성코드들에 대해 소개해왔다. 그 중에서 대북과 관련한 본문 내용의 악성 문서는 주로 HWP(한글) 형태로 제작되었고 이전 ASEC 블로그에서도 그 내용을 확인 할 수 있다. 이번에 소개할 내용은 대북 관련한 본문 내용이 담긴 악성 DOC(워드) 문서로, ASEC 분석팀에서 확보해온 해당 문서들의 일부를 공개하고자 한다. 메일로 인해 유포되었을 것으로 추정되는 해당 문서들은 아래와 같은 본문 내용을 포함하며, 문서 내부 XML에 작성된 코드에 ‘외부 External 연결 주소’로 접속하여 …
Categories:악성코드 정보