뉴스 설문지로 위장하여 유포 중인 악성 워드 문서
Contents
ASEC 분석팀은 ‘대북 관련 특정인을 타겟으로 하는 악성 워드 문서’에서 확인된 워드 문서 유형이 최근 FTP를 이용하여 사용자 정보를 유출하는 것을 확인하였다. 확인된 워드 문서의 파일명은 ‘CNA[Q].doc’ 로 CNA 싱가포르 방송 인터뷰로 위장하였다. 문서에는 암호가 설정되어 있어 비밀번호와 함께 메일에 첨부되어 유포되는 것으로 추정된다.
확인된 워드 문서는 이전과 유사하게 대북 관련 내용을 담고 있으며 악성 VBA 매크로가 포함되어 있다.
문서 열람 시 매크로 실행을 유도하는 이미지는 확인되지 않지만 내부에 포함된 매크로에 다음과 같은 코드가 존재한다. 이로 인해 사용자가 타이핑 시 매크로를 실행하여야 한다는 메시지 박스가 생성된다. 따라서 사용자는 문서 작성을 위해 콘텐츠 허용 버튼을 클릭하게 되어 문서에 포함된 VBA 매크로가 실행된다.
VBA 매크로에는 Document_Open() 함수가 존재하여 악성 매크로가 자동으로 실행된다. 실행되는 매크로 코드는 기존과 유사한 방식으로 난독화 되어 있으며, 최종적으로 %appdata% 폴더에 VBScript인 tmp.pip 파일을 생성 및 실행한다.
tmp.pip 파일 실행 시 Defender.log, DefenderUpdate.lba, Ahnlab.lnk를 생성한다. 이후 DefenderUpdate.lba의 확장자를 bat로 변경하고 해당 파일을 실행한다. 각 파일의 기능은 다음과 같다.
|파일명||기능|
|DefenderUpdate.lba (DefenderUpdate.bat)||Ahnlab.lnk 파일 실행 (파일 내부에 …
확인된 워드 문서는 이전과 유사하게 대북 관련 내용을 담고 있으며 악성 VBA 매크로가 포함되어 있다.
문서 열람 시 매크로 실행을 유도하는 이미지는 확인되지 않지만 내부에 포함된 매크로에 다음과 같은 코드가 존재한다. 이로 인해 사용자가 타이핑 시 매크로를 실행하여야 한다는 메시지 박스가 생성된다. 따라서 사용자는 문서 작성을 위해 콘텐츠 허용 버튼을 클릭하게 되어 문서에 포함된 VBA 매크로가 실행된다.
VBA 매크로에는 Document_Open() 함수가 존재하여 악성 매크로가 자동으로 실행된다. 실행되는 매크로 코드는 기존과 유사한 방식으로 난독화 되어 있으며, 최종적으로 %appdata% 폴더에 VBScript인 tmp.pip 파일을 생성 및 실행한다.
tmp.pip 파일 실행 시 Defender.log, DefenderUpdate.lba, Ahnlab.lnk를 생성한다. 이후 DefenderUpdate.lba의 확장자를 bat로 변경하고 해당 파일을 실행한다. 각 파일의 기능은 다음과 같다.
|파일명||기능|
|DefenderUpdate.lba (DefenderUpdate.bat)||Ahnlab.lnk 파일 실행 (파일 내부에 …
IoC
59be2b9a3e33057b3d80574764ab0952
8785b8e882eef125dc527736bb1c5704
89d972f89b336ee07733c72f6f89edc5
http://jojoa.mypressonline.com
http://jojoa.mypressonline.com/kmas.txt
http://okihs.mypressonline.com
http://okihs.mypressonline.com/bb/bb.down
http://okihs.mypressonline.com/bb/bb.txt
http://okihs.mypressonline.com/bb/post.php
8785b8e882eef125dc527736bb1c5704
89d972f89b336ee07733c72f6f89edc5
http://jojoa.mypressonline.com
http://jojoa.mypressonline.com/kmas.txt
http://okihs.mypressonline.com
http://okihs.mypressonline.com/bb/bb.down
http://okihs.mypressonline.com/bb/bb.txt
http://okihs.mypressonline.com/bb/post.php