타겟형 공격 <사례비지급 의뢰서> 악성 워드문서 유포
Contents
타겟형 공격 악성 워드문서 유포
APT 타겟형 공격으로 추정되는 <사례비지급 의뢰서> 내용의 악성 워드 문서가 다시 유포되었다. 똑같은 문서 내용의 악성코드는 지난 3월에도 발견되어 ASEC블로그에 관련 분석 내용을 공개하였다. 이번에 발견된 워드 문서는 최근에 만들어졌으며, 기존 공격과 내용은 동일하지만 동작 방식에서 차이가 있었다. 본 글에서는 새로 발견된 <사례비지급 의뢰서> 악성 문서 파일의 기능과 특징, 그리고 동일한 공격자(제작자)가 만들었을 것으로 강하게 추정되는 연관 파일에 대해 설명한다
- 파일명: 사례비지급 의뢰서(양식).doc
- SHA256: 811b42bb169f02d1b0b3527e2ca6c00630bebd676b235cd4e391e9e595f9dfa8
- 최초 작성자: Network Group
- 최종 수정자: Naeil_영문시작
- 문서 생성일: 2021-03-02 09:01:00
- 최종 수정일: 2021-06-07 02:23:00Z
워드 문서의 최초 작성자와 최종 수정자는 3월에 발견된 <사례비지급 의뢰서>와 같았다. 지난 공격에 사용했던 미끼 문서를 최근에 다시 수정하여 이번 공격에 활용한 것으로 보인다.
워드 문서는 악성 VBA 코드로 동작한다. VBA 코드는 안티바이러스 제품 탐지를 우회할 목적으로 html 파일 확장자로 저장되어있지만, 이는 동작하는 데 영향을 주지 않는 부분이다. 3월에 발견된 공격에서는 yml 파일 확장자로 VBA 코드가 저장되어 있었고, 템플릿 인젝션으로 외부 URL을 참조하였었다.
<Relationship Id="rId1" Type=http://schemas.microsoft.com/office/2006/relationships/vbaProject Target="asdgfa.html"
VBA 코드는 Stomping …
APT 타겟형 공격으로 추정되는 <사례비지급 의뢰서> 내용의 악성 워드 문서가 다시 유포되었다. 똑같은 문서 내용의 악성코드는 지난 3월에도 발견되어 ASEC블로그에 관련 분석 내용을 공개하였다. 이번에 발견된 워드 문서는 최근에 만들어졌으며, 기존 공격과 내용은 동일하지만 동작 방식에서 차이가 있었다. 본 글에서는 새로 발견된 <사례비지급 의뢰서> 악성 문서 파일의 기능과 특징, 그리고 동일한 공격자(제작자)가 만들었을 것으로 강하게 추정되는 연관 파일에 대해 설명한다
- 파일명: 사례비지급 의뢰서(양식).doc
- SHA256: 811b42bb169f02d1b0b3527e2ca6c00630bebd676b235cd4e391e9e595f9dfa8
- 최초 작성자: Network Group
- 최종 수정자: Naeil_영문시작
- 문서 생성일: 2021-03-02 09:01:00
- 최종 수정일: 2021-06-07 02:23:00Z
워드 문서의 최초 작성자와 최종 수정자는 3월에 발견된 <사례비지급 의뢰서>와 같았다. 지난 공격에 사용했던 미끼 문서를 최근에 다시 수정하여 이번 공격에 활용한 것으로 보인다.
워드 문서는 악성 VBA 코드로 동작한다. VBA 코드는 안티바이러스 제품 탐지를 우회할 목적으로 html 파일 확장자로 저장되어있지만, 이는 동작하는 데 영향을 주지 않는 부분이다. 3월에 발견된 공격에서는 yml 파일 확장자로 VBA 코드가 저장되어 있었고, 템플릿 인젝션으로 외부 URL을 참조하였었다.
<Relationship Id="rId1" Type=http://schemas.microsoft.com/office/2006/relationships/vbaProject Target="asdgfa.html"
VBA 코드는 Stomping …
IoC
http://alyssalove.getenjoyment.net/0423/v.php
http://200.200.200.200/test/v.php
http://ftcpark59.getenjoyment.net/1703/v.php
http://schemas.microsoft.com/office/2006/relationships/vbaProject
https://smyun0272.blogspot.com/2021/06/dootakim.html
811b42bb169f02d1b0b3527e2ca6c00630bebd676b235cd4e391e9e595f9dfa8
http://200.200.200.200/test/v.php
http://ftcpark59.getenjoyment.net/1703/v.php
http://schemas.microsoft.com/office/2006/relationships/vbaProject
https://smyun0272.blogspot.com/2021/06/dootakim.html
811b42bb169f02d1b0b3527e2ca6c00630bebd676b235cd4e391e9e595f9dfa8