‘수출용 골드바 매매 계약서’로 위장한 악성 워드문서

ASEC 분석팀에서 ‘수출용 골드바 매매 계약서’로 위장한 악성 워드 문서를 확인하여 이에 대해 알리고자한다. 이 유포된 문서의 원본은 문서 제목 및 본문 내용으로 보아 과거에 작성되었을 것으로 보이며 이를 수정하여 최근 유포한 것으로 보여진다.

  • 문서 제목 : 1MT 거래조건-20140428 .doc
  • 문서 정보 : 마지막으로 인쇄한 날짜 – 2014년 4월 20일
    마지막으로 수정한 날짜 – 2021년 8월 14일

해당 문서는 문서보호가 설정된 형태로 존재하며 내부의 악성 매크로가 실행되면 보호해제 후 공격자가 삽입해둔 그림을 제거하여 본문내용이 보여지도록 한다.

[그림1] – 문서보호 해제 후 확인되는 본문 내용
[그림2] – 보호해제 전 삽입된 그림 파일

주목할 점은 해당 문서보호를 해제하는 비밀번호가 이전 ASEC블로그를 통해 공유했던 ‘대북본문 내용의 악성 워드문서’에서 사용된 비밀번호와 동일하다는 것이다. 또한 해당 워드 문서는 해외 트위터 자료에서 아래와 같이 Kimsuky 관련 APT악성코드로 해당 문서를 언급하였다.

  • 대북본문 내용의 악성워드와 동일한 문서보호 해제 비밀번호 : 1qaz2wsx
Sub AutoOpen()
    On Error Resume Next
    Application.ActiveWindow.View.Type = wdPrintView
    Set wnd = ActiveDocument
    wnd.Unprotect "1qaz2wsx"
    ViewPage ("pic")
    wnd.Save
    Set ob_tmp = Application.Templates
    Dim tmp As Template
    For Each tmp In ob_tmp
    If tmp.Type = 0 Then
        MainPage (tmp.Path)
        Exit For
    End If
    Next
End Sub

[코드1] – 문서보호 해제 기능이 포함된 함수

이 악성 문서는 특정 경로에 악성 URL에 접근하도록하는 XML을 생성하여 wscript.exe로 실행시킨다. 결국 아래 URL에 접속하여 추가 악성 행위를 할 것으로 보이나 현재는 해당 네트워크가 비활성화되어 있어 이후 확인은 어렵다.

  • XML생성 경로 : c:\Users\[사용자명]\AppData\Roaming\Microsoft\Templates\1589989024.xml
  • 연결 URL : hxxp://regedit.onlinewebshop[.]net/hosteste/rownload/list.php?query=1

항상 언급되듯이 출처가 불분명한 문서파일은 열람을 자제할 것을 당부하며 V3제품을 항상 최신 버전으로 업데이트하여 사용해야 한다. 안랩 V3 제품군에서는 해당 악성문서를 아래와 같이 진단하고 있다.

[파일진단]
Downloader/DOC.Malscript
Downloader/DOC.Generic.S1649

[IOC]
fd2829488c4172ffc97700fbc523d646
hxxp://regedit.onlinewebshop[.]net/hosteste/rownload/list.php?query=1

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

5 1 vote
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments