북한 4.25 열병식 관련 내용의 악성 워드 문서 유포

ASEC 분석팀은 금일(04/29) 북한 열병식 관련 내용의 악성 워드 문서 유포 정황을 확인하였다. 유포자는 침해된 것으로 추정되는 국내 웹 서버에 악성 워드 문서를 업로드하였다. 웹 서버에는 악성 워드 문서 뿐만 아니라 공격자가 OLE 개체 첨부 형태나 EPS 취약점 방식의 악성 한글 문서 유포에 사용한 것으로 추정되는 정상 한글 문서 2건도 함께 업로드되어 있었다.

– [분석자료] 4.25 열병식을 통해 본 북한의 핵무력 사용 입장과 군부 엘리트 변동의 함의.docm (악성 : data.zip 내부)
– “하종대 채널 A 앵커 윤석열 캠프에 합류”.hwp (정상)
– attach.hwp (정상)

[그림 1] 악성 워드 문서(data.zip)가 업로드된 서버 페이지
[그림 2] attach.hwp (작성 일시 : 2022년 3월 2일 수요일 오후 3:36:27)
[그림 3] “하종대 채널 A 앵커 윤석열 캠프에 합류”.hwp (작성 일시 : 2022년 2월 25일 금요일 오전 12:38:15)

공격자 서버에 업로드된 “data.zip”은 암호화되어 문서 확보는 실패했지만, 기존 공격 형태처럼 wscript.exe를 이용하여 PC 정보 유출 등의 행위를 수행하였을 것으로 추정된다.

공격자는 지속적으로 안보/정치/외교 관계자를 대상으로 공격을 수행중이다. 악성 워드 문서의 경우 주로 이메일의 첨부 파일 형태로 유포되므로 출처가 불분명한 대상으로 부터 받은 이메일의 첨부 파일 실행 및 매크로 허용을 자제해야 한다.

현재 V3에서는 해당 악성코드를 다음과 같이 진단하고 있다.

[파일진단]
Trojan/HTML.Loader(2022.04.30.00)

[IOC]
6cc09bc6e605b59d7eb48eb266f798f8 (HTML)
hxxp://www.namastte[.]kr/sources/Util/AJAX.php?fpath=/home/namastte/html/sources/Util/temp/data&rename=[분석자료].zip (HTML)

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

5 1 vote
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments