정상 문서로 위장한 악성코드(kimsuky)
APT 악성코드

정상 문서로 위장한 악성코드(kimsuky)

ASEC 분석팀은 최근 <원고 청탁서로 위장한 악성코드 (안보 분야 종사자 대상)>에서 소개한 악성코드가 안보 분야 뿐만 아니라 방송 및 일반 기업들을 타겟으로 유포 중임을 확인하였다. 해당 악성 문서들은 모두 위 블로그 글에서 소개한 악성코드와 동일하게 템플릿 인젝션(Template Injection) 기법을 사용하고 있으며 악성 워드 매크로 문서를 다운로드 받아 실행한다. 확인된 유포 파일명은 다음과

  • 2월 03 2023
뉴스 설문지로 위장하여 유포 중인 악성 워드 문서
악성코드

뉴스 설문지로 위장하여 유포 중인 악성 워드 문서

 ASEC 분석팀은 ‘대북 관련 특정인을 타겟으로 하는 악성 워드 문서’에서 확인된 워드 문서 유형이 최근 FTP를 이용하여 사용자 정보를 유출하는 것을 확인하였다. 확인된 워드 문서의 파일명은 ‘CNA[Q].doc’ 로 CNA 싱가포르 방송 인터뷰로 위장하였다. 문서에는 암호가 설정되어 있어 비밀번호와 함께 메일에 첨부되어 유포되는 것으로 추정된다. 확인된 워드 문서는 이전과 유사하게 대북

  • 11월 16 2022
워드 문서를 통해 유포되는 LockBit 3.0 랜섬웨어
악성코드

워드 문서를 통해 유포되는 LockBit 3.0 랜섬웨어

ASEC 분석팀은 9/23 공유한 <입사지원 위장 메일로 유포 중인 NSIS형태의 LockBit 3.0 랜섬웨어>가 워드 문서 형태로도 유포되는 것을 확인하였다. 정확한 유포 경로는 확인되지 않았으나, 유포 파일명으로 ‘임규민.docx’, ‘전채린.docx’ 등 사람 이름을 사용하는 것으로 보아 전과 유사하게 입사지원서를 위장하여 유포되었을 것으로 추정된다. 확인된 워드 문서 내부 word\_rels\settings.xml.rels 파일에 External 링크가 존재한다.

  • 9월 23 2022
공격자 메일에 회신한 경우에 외부 링크로 제공되는 워드문서 (Kimsuky)
APT

공격자 메일에 회신한 경우에 외부 링크로 제공되는 워드문서 (Kimsuky)

ASEC 분석팀은 대북 관련 내용의 악성 워드 문서가 꾸준히 유포되고 있음을 확인하였다. 확인된 워드 문서는 안랩 TIP에 공개된 “2021년 Kimsuky 공격 워드(word) 문서 사례 총 정리 분석 보고서” 및 ‘외교/안보 관련 내용의 워드문서 유포 중‘ 에서 공유한 워드 문서 유형과 더불어 mshta를 이용하는 유형이 확인되었다. 악성 워드 문서는 다음과 같이

  • 7월 26 2022
MS Media Player 이용한 악성 워드문서 (안랩사칭)
악성코드

MS Media Player 이용한 악성 워드문서 (안랩사칭)

  ASEC 분석팀은 지난주 “기업 사용자 타겟의 악성 워드 문서 유포 중“에서 작성한 유형의 악성 워드 문서가 안랩을 사칭하는 문구를 포함하여 유포되고 있음을 확인하였다. 이번에 확인된 워드 문서는 External 연결을 통해 악성 VBA 매크로가 포함된 워드 문서를 다운로드 받아 실행하는 방식으로 동작한다. 또 다른 차이점은 추가로 다운로드된 워드 문서에서 악성

  • 3월 30 2022
기업 사용자 타겟의 악성 워드문서 유포 중
악성코드

기업 사용자 타겟의 악성 워드문서 유포 중

  ASEC 분석팀은 기업 사용자를 타켓 한 것으로 추정되는 워드 문서를 확인하였다. 확인된 워드 문서는 다른 악성 문서와 마찬가지로 매크로 실행 유도하는 이미지가 존재한다. 또한, 정상 문서처럼 보이도록 하기 위해 매크로 실행 시 Google 계정 보안 강화와 관련된 내용이 노출되고 최종적으로 추가 악성코드 다운로드 및 사용자 정보 유출 행위를 수행한다.

  • 3월 25 2022
제품소개서로 위장한 악성 워드 문서
악성코드

제품소개서로 위장한 악성 워드 문서

  ASEC 분석팀은 작년 12월에 게시한 <디자인수정 요청 문서로 위장한 정보 탈취 목적의 악성 워드>와 동일한 유형의 워드 문서를 확인하였다. 이번에 확인된 워드 문서의 제목은 ‘제품소개서.doc’이며 내부에 특정 제품들에 대한 설명을 포함하고 있는 것으로 보아 물류, 쇼핑 관련 업체를 타겟한 공격으로 추정된다. 확인된 워드 문서 내부에는 이전과 동일한 이미지가 포함되어

  • 3월 14 2022
디자인수정 요청 문서로 위장한 정보 탈취 목적의 악성 워드
악성코드

디자인수정 요청 문서로 위장한 정보 탈취 목적의 악성 워드

  ASEC 분석팀은 국내 사용자를 대상으로 한 악성 워드 문서가 유포되고 있음을 확인하였다. 파일명은 디자인수정 요청.doc 로 아래와 같이 매크로 실행을 유도하는 이미지가 포함되어있다. 그림1. 워드 문서에 포함된 이미지 그림2. 디자인수정 요청.doc 문서 정보 해당 워드 파일 내부에는 아래와 같이 hxxp://filedownloaders.com/doc09 에서 추가 파일을 다운로드하는 악성 매크로가 포함되어있다. 사용자가 콘텐츠

  • 12월 06 2021
‘BIO 양식’ 제목의 워드문서 유포 중
악성코드

‘BIO 양식’ 제목의 워드문서 유포 중

ASEC 분석팀은 지난달부터 꾸준히 워드 문서를 이용한 APT 공격에 대해 게시하였다. 최근 해당 유형의 악성코드가 ‘BIO 양식’ 제목으로 꾸준히 유포되고 있음을 확인하였다. 이전 워드문서의 유포 이력을 보면 해당 파일 역시 대북관련 교수나 연구소장을 타겟으로하여 학술전기(Biography) 양식을 가장하여 유포 중인 것으로 추정된다. 최근 유포가 확인된 파일 역시 워드 파일 내부의 External

  • 8월 03 2021
타겟형 공격 악성 워드문서 유포
악성코드

타겟형 공격 악성 워드문서 유포

APT 타겟형 공격으로 추정되는 <사례비지급 의뢰서> 내용의 악성 워드 문서가 다시 유포되었다. 똑같은 문서 내용의 악성코드는 지난 3월에도 발견되어 ASEC블로그에 관련 분석 내용을 공개하였다. 이번에 발견된 워드 문서는 최근에 만들어졌으며, 기존 공격과 내용은 동일하지만 동작 방식에서 차이가 있었다. 본 글에서는 새로 발견된 <사례비지급 의뢰서> 악성 문서 파일의 기능과 특징, 그리고

  • 6월 09 2021