워드문서 이용한 APT 공격 시도 (External 연결 + VBA 매크로)
Contents
악성 워드 문서 유포를 통한 APT 공격 시도 (External 연결 + VBA 매크로)
ASEC 분석팀은 최근 방송사 기자를 대상으로 APT 공격 시도를 위한 악성 워드 문서 파일을 유포 중인 정황을 확인하였다.
메일 제목 및 본문은 아래와 같이 되어있으며, 첨부파일인 압축 파일 내부에는 워드 문서가 포함되어 있다.
- 파일명 : 사내 금융업무 상세내역.docx
[그림 1] 메일 제목 / 본문
워드문서를 실행하면 아래와 같은 내용이 사용자에게 보여지고, 백그라운드에서는 External URL을 이용하여 워드 매크로(dotm) 파일을 다운로드 받아 실행한다.
- URL : hxxp://ms-work.com-info.store/dms/0203.dotm
[그림 2] 악성 문서 실행 시 다운로드 시도
[그림 3] 악성 문서 파일 내용
[그림 4] 문서 내 포함된 External URL
다운로드된 “0203.dotm” 이름의 워드 매크로 파일에는 아래와 같은 매크로가 작성되어 있으며, 기존 워드 파일의 사용자 지정 속성에 있는 값들을 이용하여 같은 경로 내 knla.dat 파일을 생성한다. (ActiveDocument.CustomDocumentProperties API 사용)
[그림 5] 워드 매크로 파일 내 매크로 함수
[그림 6] 문서 파일 내 사용자 지정 속성 값
DLL 파일인 knla.dat는 매크로에 의해 함수명 “GetErrorModes”가 실행되며, 아래 URL에서 추가 파일을 다운로드 받아 특정 루틴을 이용하여 …
ASEC 분석팀은 최근 방송사 기자를 대상으로 APT 공격 시도를 위한 악성 워드 문서 파일을 유포 중인 정황을 확인하였다.
메일 제목 및 본문은 아래와 같이 되어있으며, 첨부파일인 압축 파일 내부에는 워드 문서가 포함되어 있다.
- 파일명 : 사내 금융업무 상세내역.docx
[그림 1] 메일 제목 / 본문
워드문서를 실행하면 아래와 같은 내용이 사용자에게 보여지고, 백그라운드에서는 External URL을 이용하여 워드 매크로(dotm) 파일을 다운로드 받아 실행한다.
- URL : hxxp://ms-work.com-info.store/dms/0203.dotm
[그림 2] 악성 문서 실행 시 다운로드 시도
[그림 3] 악성 문서 파일 내용
[그림 4] 문서 내 포함된 External URL
다운로드된 “0203.dotm” 이름의 워드 매크로 파일에는 아래와 같은 매크로가 작성되어 있으며, 기존 워드 파일의 사용자 지정 속성에 있는 값들을 이용하여 같은 경로 내 knla.dat 파일을 생성한다. (ActiveDocument.CustomDocumentProperties API 사용)
[그림 5] 워드 매크로 파일 내 매크로 함수
[그림 6] 문서 파일 내 사용자 지정 속성 값
DLL 파일인 knla.dat는 매크로에 의해 함수명 “GetErrorModes”가 실행되며, 아래 URL에서 추가 파일을 다운로드 받아 특정 루틴을 이용하여 …
IoC
http://ms-work.com-info.store/home/?id=[
http://ms-work.com-info.store/home/up.php?id=[
http://ms-work.com-info.store/dms/0203.dotm
http://ms-work.com-info.store/home/up.php?id=[
http://ms-work.com-info.store/dms/0203.dotm