유사한 도메인 형태의 External 링크를 사용하는 악성 워드 문서
Contents
유사한 도메인 형태의 External 링크를 사용하는 악성 워드 문서
최근 공격 정황들이 확인되고 있는 악성 워드(WORD)문서들은 대부분 매크로 형태이나 이번에 ASEC분석팀은 이 매크로 악성 워드를 실행시키기 위한 상위 공격 과정에서 C2가 살아있는 External 링크 워드를 이용한 케이스를 확인하였다. 이 방식은 과거 게시글에서도 설명한 바있으며 주로 대북관련 본문 내용의 악성 워드에서 사용했었다.
이전 케이스와 같이 동일한 과정을 통해 동작하는 해당 악성 워드의 실행 흐름은 아래와 같다.
- 실행흐름 : 악성 XML(External 링크 연결)이 포함된 워드 실행 후 추가 악성 파일 다운로드 시도 → 악성 매크로가 포함된 워드 다운로드 → 매크로를 통해 추가 악성 PE 백도어 다운로드
특히 이번에 External 링크 연결에 사용된 주소는 북한 공격 그룹에서 자주 사용하였던 특정 도메인 호스팅 atwebpages[.]com을 이용한 주소였다. 해당 도메인 사용 케이스 중 “kr[숫자].atwebpages[.]com“와 같은 형식의 도메인이 사용되었던 이력은 다음과 같다.
| hxxp://kr4952.atwebpages[.]com/view.php?id=1 해당 주소를 사용한 악성 문서 파일명
[대외비]검토자료.docx |
| hxxp://kr7593.atwebpages[.]com/view.php?id=1 해당 주소를 사용한 악성 문서 파일명
[대외비]검토자료.docx |
| hxxp://kr2959.atwebpages[.]com/view.php?id=1 해당 주소를 사용한 악성 문서 파일명 |
[표1] – “kr[숫자].atwebpages[.]com” 형식을 이용한 …
최근 공격 정황들이 확인되고 있는 악성 워드(WORD)문서들은 대부분 매크로 형태이나 이번에 ASEC분석팀은 이 매크로 악성 워드를 실행시키기 위한 상위 공격 과정에서 C2가 살아있는 External 링크 워드를 이용한 케이스를 확인하였다. 이 방식은 과거 게시글에서도 설명한 바있으며 주로 대북관련 본문 내용의 악성 워드에서 사용했었다.
이전 케이스와 같이 동일한 과정을 통해 동작하는 해당 악성 워드의 실행 흐름은 아래와 같다.
- 실행흐름 : 악성 XML(External 링크 연결)이 포함된 워드 실행 후 추가 악성 파일 다운로드 시도 → 악성 매크로가 포함된 워드 다운로드 → 매크로를 통해 추가 악성 PE 백도어 다운로드
특히 이번에 External 링크 연결에 사용된 주소는 북한 공격 그룹에서 자주 사용하였던 특정 도메인 호스팅 atwebpages[.]com을 이용한 주소였다. 해당 도메인 사용 케이스 중 “kr[숫자].atwebpages[.]com“와 같은 형식의 도메인이 사용되었던 이력은 다음과 같다.
| hxxp://kr4952.atwebpages[.]com/view.php?id=1 해당 주소를 사용한 악성 문서 파일명
[대외비]검토자료.docx |
| hxxp://kr7593.atwebpages[.]com/view.php?id=1 해당 주소를 사용한 악성 문서 파일명
[대외비]검토자료.docx |
| hxxp://kr2959.atwebpages[.]com/view.php?id=1 해당 주소를 사용한 악성 문서 파일명 |
[표1] – “kr[숫자].atwebpages[.]com” 형식을 이용한 …
IoC
http://kr7593.atwebpages.com/view.php?id=1
http://schemas.openxmlformats.org/officeDocument/2006/relationships/attachedTemplate
http://kr4952.atwebpages.com/view.php?id=1
http://schemas.openxmlformats.org/package/2006/relationships
http://kr숫자.atwebpages.com
http://kr9235.atwebpages.com/view.php?id=1
http://atwebpages.com
http://kr2959.atwebpages.com/view.php?id=1
http://kr9235.atwebpages.com/view.php?q=2
http://schemas.openxmlformats.org/officeDocument/2006/relationships/attachedTemplate
http://kr4952.atwebpages.com/view.php?id=1
http://schemas.openxmlformats.org/package/2006/relationships
http://kr숫자.atwebpages.com
http://kr9235.atwebpages.com/view.php?id=1
http://atwebpages.com
http://kr2959.atwebpages.com/view.php?id=1
http://kr9235.atwebpages.com/view.php?q=2