Word

뉴스 설문지로 위장하여 유포 중인 악성 워드 문서

 ASEC 분석팀은 ‘대북 관련 특정인을 타겟으로 하는 악성 워드 문서’에서 확인된 워드 문서 유형이 최근 FTP를 이용하여 사용자 정보를 유출하는 것을 확인하였다. 확인된 워드 문서의 파일명은 ‘CNA[Q].doc’ 로 CNA 싱가포르 방송 인터뷰로 위장하였다. 문서에는 암호가 설정되어 있어 비밀번호와 함께 메일에 첨부되어 유포되는 것으로 추정된다. 확인된 워드 문서는 이전과 유사하게 대북 관련 내용을 담고 있으며 악성 VBA 매크로가 포함되어 있다. 문서 열람 시 매크로 실행을 유도하는 이미지는 확인되지 않지만 내부에 포함된 매크로에 다음과 같은 코드가 존재한다. 이로 인해 사용자가 타이핑 시…

워드 문서를 통해 유포되는 LockBit 3.0 랜섬웨어

ASEC 분석팀은 9/23 공유한 <입사지원 위장 메일로 유포 중인 NSIS형태의 LockBit 3.0 랜섬웨어>가 워드 문서 형태로도 유포되는 것을 확인하였다. 정확한 유포 경로는 확인되지 않았으나, 유포 파일명으로 ‘임규민.docx’, ‘전채린.docx’ 등 사람 이름을 사용하는 것으로 보아 전과 유사하게 입사지원서를 위장하여 유포되었을 것으로 추정된다. 확인된 워드 문서 내부 word\_rels\settings.xml.rels 파일에 External 링크가 존재한다. 이로 인해 문서 파일 실행 시 hxxp://ppaauuaa11232[.]cc/dlx5rc.dotm에 접속하여 추가 dotm 파일을 다운로드한다. 문서 파일 내부에는 매크로 사용을 유도하는 이미지가 존재한다. 다운로드 된 dlx5rc.dotm에는 VBA 매크로가 포함되어 있어 사용자가 콘텐츠 사용…

공격자 메일에 회신한 경우에 외부 링크로 제공되는 워드문서 (Kimsuky)

ASEC 분석팀은 대북 관련 내용의 악성 워드 문서가 꾸준히 유포되고 있음을 확인하였다. 확인된 워드 문서는 안랩 TIP에 공개된 “2021년 Kimsuky 공격 워드(word) 문서 사례 총 정리 분석 보고서” 및 ‘외교/안보 관련 내용의 워드문서 유포 중‘ 에서 공유한 워드 문서 유형과 더불어 mshta를 이용하는 유형이 확인되었다. 악성 워드 문서는 다음과 같이 다양한 파일명으로 유포되고 있다. 김** 이력서(한미**협회,220711).doc 양**_**재단 중간보고(220716).doc 자문 요청서.doc 유형 1 자문 요청서.doc 파일명의 악성 워드 문서는 아래의 메일을 통해 유포되었을 것으로 추정된다. 공격자는 국내 기관을 사칭하여 보고서 작성에…

MS Media Player 이용한 악성 워드문서 (안랩사칭)

ASEC 분석팀은 지난주 “기업 사용자 타겟의 악성 워드 문서 유포 중“에서 작성한 유형의 악성 워드 문서가 안랩을 사칭하는 문구를 포함하여 유포되고 있음을 확인하였다. 이번에 확인된 워드 문서는 External 연결을 통해 악성 VBA 매크로가 포함된 워드 문서를 다운로드 받아 실행하는 방식으로 동작한다. 또 다른 차이점은 추가로 다운로드된 워드 문서에서 악성 VBA 매크로를 자동으로 실행하기 위해 기존의 AutoOpen() 함수가 아닌 Windows Media Player() 함수를 이용하였다는 점이다. 이는 AutoOpen() 함수 기반의 매크로 자동 실행을 탐지하는 보안 제품을 우회하기 위한 시도로 추정된다. 확인된 문서의…

기업 사용자 타겟의 악성 워드문서 유포 중

ASEC 분석팀은 기업 사용자를 타켓 한 것으로 추정되는 워드 문서를 확인하였다. 확인된 워드 문서는 다른 악성 문서와 마찬가지로 매크로 실행 유도하는 이미지가 존재한다. 또한, 정상 문서처럼 보이도록 하기 위해 매크로 실행 시 Google 계정 보안 강화와 관련된 내용이 노출되고 최종적으로 추가 악성코드 다운로드 및 사용자 정보 유출 행위를 수행한다. 확인된 악성 워드 문서 실행 시 경고창 이미지가 보여지며 ‘공공서식 한글에서 작성된 서식파일’이라고 언급하며 문서 내부에 존재하는 VBA 매크로 실행을 유도한다. 또한, 우측에 존재하는 메모를 통해 Microsoft 작성한 것처럼 보이도록 하였으며…