스팸메일

오피스 워드 External 외부 연결 접속을 이용한 RTF 취약점 악성코드 유포

MS Office Word 문서 External 외부 연결 접속을 이용한 RTF 취약점(CVE-2017-11882) 악성코드 유포 사례가 확인되었다. 국내 쇼핑몰 등 기업을 대상으로 스팸메일을 이용하여 악성코드가 유포되고 있어 주의가 필요하다. 최근들어 External 접속을 이용한 오피스 문서 악성파일 유포가 눈에 띄게 증가하고 있다. OOXML(Office Open XML) 포맷의 정상적인 XML Relationship을 이용하여 Target 주소만 악성 URL을 이용하기 때문에, 파일 바이너리만으로는 악성 여부를 판단하기가 어렵다. 아래는 문서에 삽입된 악성 URL이다. 문서 오픈시 자동으로 악성 URL에 접속을 시도한다. 접속 이후엔 RTF 취약점 파일 바이너리를 현재 오픈한 문서에…

채용 담당자 대상으로 유포 중인 폼북(Formbook) 악성코드

ASEC 분석팀은 최근 정보 유출 악성코드 중 하나인 폼북(Formbook)이 채용 담당자를 대상으로 유포 중인 것을 확인하였다. 다음 EML 파일은 국내 기업의 채용 담당자를 대상으로 한 스팸 메일로써, 공격자는 첨부된 파일을 이용해 입금 확인을 요청하는 내용이 적혀져 있다. 첨부된 LZH 포맷의 압축 파일을 압축 해제하면 대체전표(Transfer Slip)를 의미하는 “T_Slip_May09019203.exe” 이름의 실행 파일을 확인할 수 있다. 이 실행 파일은 NSIS로 만들어진 인스톨러 프로그램이다. 인스톨러에 포함된 파일들을 확인해 보면 전형적인 다른 정상 인스톨러 파일과 유사하게 여러 정상 프로그램들이 존재하는 것을 확인할 수 있다….

군사안보 월간지(4월호) 위장한 악성 워드문서 유포 중

ASEC 분석팀은 지난 3월 22일, 대북관련 내용을 포함하고 있는 악성 DOC(워드) 문서에 대해 소개하였다. 해당 유형은 문서 내부 XML 파일에 작성된 “외부 External 연결 주소” 로 접속하여 추가 파일을 다운로드 받는 구조이다. 최근 해당 방식을 이용한 악성 워드문서가 유포 중임을 포착하였으며, 군사안보 월간지 (4월호) 를 위장하였다. 현재 유포 중인 파일명은 아래와 같다. 월간KIMA2021_4월호군사안보0330.docx 월간KIMA2021_4월호군사안보0331.docx 문서 파일은 실행 시 본문 내용이 보호되어 있는 상태이며, 보호 해제 시 다음과 같은 본문 내용을 확인할 수 있다. 해당 문서에서 접속하는 악성 External 주소는 아래와…

탐지 우회 방법으로 무장한 Dridex 악성코드 유포방식 분석

Dridex (또는 Cridex, Bugat)는 대표적인 금융 정보 유출형 악성코드이다. 사이버범죄 조직에 의해 글로벌로 대규모로 유포되고 있으며, 주로 스팸메일에 포함된 Microsoft Office Word나 Excel 문서 파일의 매크로를 이용한다. Dridex 악성코드의 가장 큰 특징으로는 다운로더, 로더, 봇넷 등 기능에 따라 파일을 모듈화하여 동작한다는 점이다. 이로 인해 Dridex 악성코드를 이용하여 DoppelPaymer 나 BitPaymer와 같은 랜섬웨어가 유포된 이력도 확인되었다. Dridex 악성코드를 제작 및 유포하는 공격 그룹과 랜섬웨어를 유포하는 공격 그룹이 코드나 유포 방식을 보아 상당 부분 겹친다는 정황도 확인되었다.[1][2][3] ASEC 분석팀은 스팸메일과 Microsoft Offce…

대북관련 본문 내용의 External 링크를 이용한 악성 워드 문서

ASEC 분석팀에서는 다양한 형태의 문서형 악성코드들에 대해 소개해왔다. 그 중에서 대북과 관련한 본문 내용의 악성 문서는 주로 HWP(한글) 형태로 제작되었고 이전 ASEC 블로그에서도 그 내용을 확인 할 수 있다. 이번에 소개할 내용은 대북 관련한 본문 내용이 담긴 악성 DOC(워드) 문서로, ASEC 분석팀에서 확보해온 해당 문서들의 일부를 공개하고자 한다. 메일로 인해 유포되었을 것으로 추정되는 해당 문서들은 아래와 같은 본문 내용을 포함하며, 문서 내부 XML에 작성된 코드에 ‘외부 External 연결 주소’로 접속하여 추가 문서 파일을 다운로드 받는다. XML 내부에 아래 예시와 같이…