‘항균필름제안서’ 내용의 Follina 취약점(CVE-2022-30190) 공격 Posted By ASEC , 2022년 6월 8일 지난 5월 31일, ASEC 분석팀에서는 본 블로그를 통해 MS 오피스 문서파일에 대한 제로데이 취약점인 Follina 에 대해 신속하게 소개한 바 있다. 아직 해당 취약점에 대한 패치가 제공되지 않아 사용자 주의가 요구되는 상황이다. 주의! MS 오피스 제로데이 취약점 Follina (CVE-2022-30190) 안랩은 해당 취약점 이용한 공격시도에 대해 파일진단, 행위진단 관점에서 탐지 룰을 배포한 상황이며, 다양한 자사 제품군(V3, MDS, EDR)에서 탐지가 가능한 상황이다. 해당 공격 시도에 대한 모니터링을 진행하는 상황에서 6월 7일에 국내 사용자를 타겟으로 한 유포 정황이 안랩 ASD(Ahnlab Smart Defence)인프라를 통하여…
제품소개서로 위장한 악성 워드 문서 Posted By ASEC , 2022년 3월 14일 ASEC 분석팀은 작년 12월에 게시한 <디자인수정 요청 문서로 위장한 정보 탈취 목적의 악성 워드>와 동일한 유형의 워드 문서를 확인하였다. 이번에 확인된 워드 문서의 제목은 ‘제품소개서.doc’이며 내부에 특정 제품들에 대한 설명을 포함하고 있는 것으로 보아 물류, 쇼핑 관련 업체를 타겟한 공격으로 추정된다. 확인된 워드 문서 내부에는 이전과 동일한 이미지가 포함되어 있어 매크로 실행을 유도한다. 해당 워드 문서는 ‘디자인수정 요청.doc’ 파일과 만든 날짜, 만든 이와 마지막으로 수정한 사람 정보가 모두 동일하다. 이를 통해 공격자가 동일한 파일을 수정하여 사용하고 있는 것으로 추정된다. 문서…
워드문서 이용한 APT 공격 시도 (External 연결 + VBA 매크로) Posted By ASEC , 2022년 2월 3일 ASEC 분석팀은 최근 방송사 기자를 대상으로 APT 공격 시도를 위한 악성 워드 문서 파일을 유포 중인 정황을 확인하였다. 메일 제목 및 본문은 아래와 같이 되어있으며, 첨부파일인 압축 파일 내부에는 워드 문서가 포함되어 있다. 파일명 : 사내 금융업무 상세내역.docx 워드문서를 실행하면 아래와 같은 내용이 사용자에게 보여지고, 백그라운드에서는 External URL을 이용하여 워드 매크로(dotm) 파일을 다운로드 받아 실행한다. URL : hxxp://ms-work.com-info.store/dms/0203.dotm 다운로드된 “0203.dotm” 이름의 워드 매크로 파일에는 아래와 같은 매크로가 작성되어 있으며, 기존 워드 파일의 사용자 지정 속성에 있는 값들을 이용하여 같은 경로…
워드문서를 이용한 특정인 대상 APT 공격시도 Posted By ASEC , 2021년 7월 15일 ASEC 분석팀은 이전 “‘한국정치외교 학술’ 및 ‘정책자문위원 약력’ 악성 워드문서 유포” 등으로 소개하였던 악성 워드 문서와 동일한 유형의 악성코드가 여전히 유포되고 있음을 확인하였다. 최근 확인된 워드 파일 역시 기존과 동일하게 External 링크를 통해 악성 매크로가 포함된 dotm 파일을 다운로드한다. 확인된 파일명과 Extarnal 주소는 아래와 같다. 발견일 파일명 External URL 7/3 [남북회담본부 정책자문위원] 약력 작성 양식.docx hxxp://jupit.getenjoyment.net/Package/2006/relationships/InterKoreanSummit.dotm 7/6 00225 한미의원대화 ***.docx hxxp://modri.myartsonline.com/officeDocument/2006/relationships/BIO. dotm 7/9 *** 교수님 BIO.docx hxxp://visul.myartsonline.com/officeDocument/2006/relationships/BIO. dotm 7/12 *** 교수-BIO.docx hxxp://ccav.myartsonline.com/officeDocument/2006/relationships/BIO. dotm 7/15 BIO 양식.docx hxxp://tbear.mypressonline.com/officeDocument/2006/relationships/BIO.dotm [표-1] 유포 파일명과…
‘한국정치외교 학술’ 및 ‘정책자문위원 약력’ 악성 워드문서 유포 Posted By ASEC , 2021년 7월 2일 ASEC 분석팀에서는 아래와 같이 2차례에 걸쳐 ‘사례비 지급 의뢰서’, ‘하계 학술대회 약력 작성 양식’ 제목의 워드 문서 악성코드가 유포 중임을 소개하였다. 유사한 공격 형태를 모니터링 하던 중, 지난 6월과 7월 1일에도 동일한 제작자에 의해 새로운 워드 문서가 유포된 정황을 확인하였다. 새로 포착된 악성 워드 문서 제목 민주평통-한국정치외교사학회 공동 학술 회의 프로그램 (최종본).docx – 6월 추가 확보 [남북회담본부 정책자문위원] 약력 작성 양식.docx – 7월 1일 추가 확보 기존 동일유형으로 소개된 악성 워드 블로그 내용 타겟형 공격 <사례비지급 의뢰서> 악성 워드문서 유포…
