북한 4.25 열병식 관련 내용의 악성 워드 문서 유포
Contents
북한 4.25 열병식 관련 내용의 악성 워드 문서 유포
ASEC 분석팀은 금일(04/29) 북한 열병식 관련 내용의 악성 워드 문서 유포 정황을 확인하였다. 유포자는 침해된 것으로 추정되는 국내 웹 서버에 악성 워드 문서를 업로드하였다. 웹 서버에는 악성 워드 문서 뿐만 아니라 공격자가 OLE 개체 첨부 형태나 EPS 취약점 방식의 악성 한글 문서 유포에 사용한 것으로 추정되는 정상 한글 문서 2건도 함께 업로드되어 있었다.
– [분석자료] 4.25 열병식을 통해 본 북한의 핵무력 사용 입장과 군부 엘리트 변동의 함의.docm (악성 : data.zip 내부)
– “하종대 채널 A 앵커 윤석열 캠프에 합류”.hwp (정상)
– attach.hwp (정상)
공격자 서버에 업로드된 “data.zip”은 암호화되어 문서 확보는 실패했지만, 기존 공격 형태처럼 wscript.exe를 이용하여 PC 정보 유출 등의 행위를 수행하였을 것으로 추정된다.
공격자는 지속적으로 안보/정치/외교 관계자를 대상으로 공격을 수행중이다. 악성 워드 문서의 경우 주로 이메일의 첨부 파일 형태로 유포되므로 출처가 불분명한 대상으로 부터 받은 이메일의 첨부 파일 실행 및 매크로 허용을 자제해야 한다.
현재 V3에서는 해당 악성코드를 다음과 같이 진단하고 있다.
[파일진단]
Trojan/HTML.Loader(2022.04.30.00)
6cc09bc6e605b59d7eb48eb266f798f8
ASEC 분석팀은 금일(04/29) 북한 열병식 관련 내용의 악성 워드 문서 유포 정황을 확인하였다. 유포자는 침해된 것으로 추정되는 국내 웹 서버에 악성 워드 문서를 업로드하였다. 웹 서버에는 악성 워드 문서 뿐만 아니라 공격자가 OLE 개체 첨부 형태나 EPS 취약점 방식의 악성 한글 문서 유포에 사용한 것으로 추정되는 정상 한글 문서 2건도 함께 업로드되어 있었다.
– [분석자료] 4.25 열병식을 통해 본 북한의 핵무력 사용 입장과 군부 엘리트 변동의 함의.docm (악성 : data.zip 내부)
– “하종대 채널 A 앵커 윤석열 캠프에 합류”.hwp (정상)
– attach.hwp (정상)
공격자 서버에 업로드된 “data.zip”은 암호화되어 문서 확보는 실패했지만, 기존 공격 형태처럼 wscript.exe를 이용하여 PC 정보 유출 등의 행위를 수행하였을 것으로 추정된다.
공격자는 지속적으로 안보/정치/외교 관계자를 대상으로 공격을 수행중이다. 악성 워드 문서의 경우 주로 이메일의 첨부 파일 형태로 유포되므로 출처가 불분명한 대상으로 부터 받은 이메일의 첨부 파일 실행 및 매크로 허용을 자제해야 한다.
현재 V3에서는 해당 악성코드를 다음과 같이 진단하고 있다.
[파일진단]
Trojan/HTML.Loader(2022.04.30.00)
6cc09bc6e605b59d7eb48eb266f798f8
IoC
6cc09bc6e605b59d7eb48eb266f798f8