‘수출용 골드바 매매 계약서’로 위장한 악성 워드문서
Contents
‘수출용 골드바 매매 계약서’로 위장한 악성 워드문서
ASEC 분석팀에서 ‘수출용 골드바 매매 계약서’로 위장한 악성 워드 문서를 확인하여 이에 대해 알리고자한다. 이 유포된 문서의 원본은 문서 제목 및 본문 내용으로 보아 과거에 작성되었을 것으로 보이며 이를 수정하여 최근 유포한 것으로 보여진다.
- 문서 제목 : 1MT 거래조건-20140428 .doc
- 문서 정보 : 마지막으로 인쇄한 날짜 – 2014년 4월 20일
마지막으로 수정한 날짜 – 2021년 8월 14일
해당 문서는 문서보호가 설정된 형태로 존재하며 내부의 악성 매크로가 실행되면 보호해제 후 공격자가 삽입해둔 그림을 제거하여 본문내용이 보여지도록 한다.
주목할 점은 해당 문서보호를 해제하는 비밀번호가 이전 ASEC블로그를 통해 공유했던 ‘대북본문 내용의 악성 워드문서’에서 사용된 비밀번호와 동일하다는 것이다. 또한 해당 워드 문서는 해외 트위터 자료에서 아래와 같이 Kimsuky 관련 APT악성코드로 해당 문서를 언급하였다.
- 대북본문 내용의 악성워드와 동일한 문서보호 해제 비밀번호 : 1qaz2wsx
대북관련 본문 내용의 External 링크를 이용한 악성 워드 문서 – ASEC BLOG
ASEC 분석팀에서는 다양한 형태의 문서형 악성코드들에 대해 소개해왔다. 그 중에서 대북과 관련한 본문 내용의 악성 문서는 주로 HWP(한글) 형태로 …
ASEC 분석팀에서 ‘수출용 골드바 매매 계약서’로 위장한 악성 워드 문서를 확인하여 이에 대해 알리고자한다. 이 유포된 문서의 원본은 문서 제목 및 본문 내용으로 보아 과거에 작성되었을 것으로 보이며 이를 수정하여 최근 유포한 것으로 보여진다.
- 문서 제목 : 1MT 거래조건-20140428 .doc
- 문서 정보 : 마지막으로 인쇄한 날짜 – 2014년 4월 20일
마지막으로 수정한 날짜 – 2021년 8월 14일
해당 문서는 문서보호가 설정된 형태로 존재하며 내부의 악성 매크로가 실행되면 보호해제 후 공격자가 삽입해둔 그림을 제거하여 본문내용이 보여지도록 한다.
주목할 점은 해당 문서보호를 해제하는 비밀번호가 이전 ASEC블로그를 통해 공유했던 ‘대북본문 내용의 악성 워드문서’에서 사용된 비밀번호와 동일하다는 것이다. 또한 해당 워드 문서는 해외 트위터 자료에서 아래와 같이 Kimsuky 관련 APT악성코드로 해당 문서를 언급하였다.
- 대북본문 내용의 악성워드와 동일한 문서보호 해제 비밀번호 : 1qaz2wsx
대북관련 본문 내용의 External 링크를 이용한 악성 워드 문서 – ASEC BLOG
ASEC 분석팀에서는 다양한 형태의 문서형 악성코드들에 대해 소개해왔다. 그 중에서 대북과 관련한 본문 내용의 악성 문서는 주로 HWP(한글) 형태로 …
IoC
http://regedit.onlinewebshop.net/hosteste/rownload/list.php?query=1