CVE-2021-40444 취약점을 이용한 대북 관련 악성 문서

ASEC 분석팀에서는 최근 마이크로소프트에서 9월에 발표한 신규 취약점인 CVE-2021-40444를 포함한 문서 파일들이 유포되고 있는 정황을 확인하였다. 주목할 점은 확인된 문서들이 대북관련이라는 점이다. 대북과 관련한 악성 문서들은 과거부터 지속 새로운 방식으로 발전하고 있는데 최신 취약점을 사용한 것이 확인된 만큼 관련 공격자들이 발빠르게 새로운 기법들을 적용하여 유포 시도하고 있는 것을 알 수 있다.

취약점 CVE-2021-40444는 MSHTML 관련 원격 코드 실행이 가능한 취약점으로 MSHTML은 Internet Explorer 및 Office 문서 작업 프로그램 내 브라우저 렌더링 엔진이다. 해당 취약점은 Internet Explorer 및 Office 문서 작업 프로그램에서 작동한다. 랜섬웨어인 매그니베르도 9월부터 해당 취약점을 악용하여 Internet Explorer를 통해 지금까지 유포되고 있다.

해당 취약점을 포함한 Office 문서는 아래와 같은 파일명으로 유포되고 있으며, 대북과 관련한 파일명으로 이루어져 있다.

● (2021-1118) 통일**원-**대 통일****원 공동세미나 프로그램(final).docx
● +북.중.러 초국경협력 촉진을 위한 길잡이.docx

취약점 작동 방식은 아래 그림과 같이 External 링크를 이용하였으며, 아래와 같은 순서대로 공격이 진행된다.

  1. MHTML(MIME HTML) 프로토콜을 통해 악성 URL에 접근
  2. Office 문서 프로그램 내 브라우저 렌더링 엔진을 이용하여 악성 구문으로 이루어진 자바스크립트 실행
  3. CAB 파일을 다운로드하여 CAB 파일 내 INF 확장자를 가진 악성 DLL 파일을 로드하여 악성 행위 실행
[그림 1] 악성 문서 파일 내 XML 파일에 삽입되어 있는 External 링크

악성 행위가 실행된 후, 아래와 같이 문서 본문을 확인할 수 있다. 문서 본문 내용에는 11/18일 예정되어 있는 통일관련 기관의 세미나 일정에 관하여 작성되어 있다.

[그림 2] 대북 관련 문서의 본문

대북 관련 2개 문서 파일 모두 동일한 URL에 접근하는 것으로 보아 동일 그룹의 공격으로 보이며, 현재 서버는 열려있지만 접근하지 못하도록 막아놓은 상태이다.

이처럼 대북 관련 악성 문서들은 다양한 취약점을 이용하여 꾸준히 유포되고 있으며, 문서 내용 자체도 실제 관련된 내용을 담고 있어 사용자가 문서 파일을 실행하여도 악성 파일임을 인지하기 어려워 각별한 주의가 필요하다.

현재 V3에서는 아래와 같은 진단명으로 진단하고 있다.

[그림 3] V3 진단

[파일 진단]
Downloader/XML.Generic
Exploit/XML.Cve-2021-40444.S1697

[IOC 정보]
1132d2a12b6fd6cbbc8046df3612d725
2edbab4834a1315b476278fb6ed2592f
809c4c40537c60e224363b94296fbbf2
hxxp://officeversion[.]mywebcommunity[.]org/ole/

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

5 2 votes
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments