제품소개서로 위장한 악성 워드 문서
Contents
제품소개서로 위장한 악성 워드 문서
ASEC 분석팀은 작년 12월에 게시한 <디자인수정 요청 문서로 위장한 정보 탈취 목적의 악성 워드>와 동일한 유형의 워드 문서를 확인하였다. 이번에 확인된 워드 문서의 제목은 ‘제품소개서.doc’이며 내부에 특정 제품들에 대한 설명을 포함하고 있는 것으로 보아 물류, 쇼핑 관련 업체를 타겟한 공격으로 추정된다.
확인된 워드 문서 내부에는 이전과 동일한 이미지가 포함되어 있어 매크로 실행을 유도한다.
해당 워드 문서는 ‘디자인수정 요청.doc’ 파일과 만든 날짜, 만든 이와 마지막으로 수정한 사람 정보가 모두 동일하다. 이를 통해 공격자가 동일한 파일을 수정하여 사용하고 있는 것으로 추정된다.
문서 내부에는 악성 VBA 매크로가 포함되어 있다. 매크로 실행 시 Document_Open() 함수를 통해 악성 매크로가 자동으로 실행된다. 매크로 코드의 경우 이전보다 조금 난독화된 형태로 존재하며, hxxp://manage-box.com/ord03 또는 /doc03 에서 추가 파일을 다운로드 한다.
VBA 매크로를 통해 다운로드 되는 파일은 다음과 같다. 다운로드 된 setup.cab 파일 내부에는 download.vbs, error.bat, no4.bat, start.vbs, upload.vbs 총 5가지의 스크립트가 존재한다.
다운로드 URL | 저장 경로 및 파일명 |
hxxp://manage-box[.]com/ord03/no03.txt | C:\Users\Public\Documents\no1.bat |
hxxp://manage-box[.]com/ord03/vbs03.txt | C:\Users\Public\Documents\setup.cab |
hxxp://manage-box[.]com/doc03/temp1403.doc | C:\Users\Public\Documents\temp.doc |
표1. …
ASEC 분석팀은 작년 12월에 게시한 <디자인수정 요청 문서로 위장한 정보 탈취 목적의 악성 워드>와 동일한 유형의 워드 문서를 확인하였다. 이번에 확인된 워드 문서의 제목은 ‘제품소개서.doc’이며 내부에 특정 제품들에 대한 설명을 포함하고 있는 것으로 보아 물류, 쇼핑 관련 업체를 타겟한 공격으로 추정된다.
확인된 워드 문서 내부에는 이전과 동일한 이미지가 포함되어 있어 매크로 실행을 유도한다.
해당 워드 문서는 ‘디자인수정 요청.doc’ 파일과 만든 날짜, 만든 이와 마지막으로 수정한 사람 정보가 모두 동일하다. 이를 통해 공격자가 동일한 파일을 수정하여 사용하고 있는 것으로 추정된다.
문서 내부에는 악성 VBA 매크로가 포함되어 있다. 매크로 실행 시 Document_Open() 함수를 통해 악성 매크로가 자동으로 실행된다. 매크로 코드의 경우 이전보다 조금 난독화된 형태로 존재하며, hxxp://manage-box.com/ord03 또는 /doc03 에서 추가 파일을 다운로드 한다.
VBA 매크로를 통해 다운로드 되는 파일은 다음과 같다. 다운로드 된 setup.cab 파일 내부에는 download.vbs, error.bat, no4.bat, start.vbs, upload.vbs 총 5가지의 스크립트가 존재한다.
다운로드 URL | 저장 경로 및 파일명 |
hxxp://manage-box[.]com/ord03/no03.txt | C:\Users\Public\Documents\no1.bat |
hxxp://manage-box[.]com/ord03/vbs03.txt | C:\Users\Public\Documents\setup.cab |
hxxp://manage-box[.]com/doc03/temp1403.doc | C:\Users\Public\Documents\temp.doc |
표1. …
IoC
http://manage-box.com
http://manage-box.com/doc03/temp1403.doc
http://manage-box.com/ord03
http://manage-box.com/ord03/no03.txt
http://manage-box.com/ord03/vbs03.txt
http://safemaners.com
http://safemaners.com/dow11/%COMPUTERNAME%.txt
http://safemaners.com/upl11/upload.php
http://manage-box.com/doc03/temp1403.doc
http://manage-box.com/ord03
http://manage-box.com/ord03/no03.txt
http://manage-box.com/ord03/vbs03.txt
http://safemaners.com
http://safemaners.com/dow11/%COMPUTERNAME%.txt
http://safemaners.com/upl11/upload.php