하계학술대회 약력 서식파일로 위장한 워드 악성코드 유포 중
Contents
하계학술대회 약력 서식파일로 위장한 워드 악성코드 유포 중
ASEC 분석팀은 이달 초 타겟형 공격으로 추정되는 악성 워드 문서를 소개하였으며, 최근 해당 유형의 악성코드가 새로운 내용으로 유포됨을 확인하였다. 악성코드는 아래와 같이 메일을 통해 유포되었으며, 국내 하계학술대회 관리자를 사칭하고 있다. 메일에는 ‘[** 하계학술대회]_양력.doc’가 첨부되어 있고 해당 파일 작성을 유도한다.
유포 메일 내용
메일에 첨부된 워드 파일은 아래와 같으며 악성 매크로가 존재한다. 문서의 작성자와 수정자 모두 이전에 발견된 ‘사례비지급 의뢰서’와 일치하며 동일한 공격자의 수행으로 추정된다. (https://asec.ahnlab.com/ko/24220/)
문서 속성
악성 워드 파일
해당 파일 역시 이전 ‘사례비지급 의뢰서’와 동일하게 단순히 파일을 오픈하는 것만으로는 악성 행위가 발현되지 않는다. 사용자가 문서에 텍스트를 입력할 시에 악성 매크로가 실행된다. 매크로 실행 시 아래 URL에서 데이터를 받아와 %APPDATA%\desktop.ini 파일로 저장한다.
- 다운로드 URL : hxxp://daewon3765.cafe24.com/about/down/download.php?filename=[사용자명]
이후 아래와 같이 ExcelApp.ExecuteExcel4Macro(cmd) 함수를 통해 엑셀에서 아래 명령어로 desktop.ini 파일을 실행한다. 현재 추가 데이터를 받아오는 주소로 접근이 불가하여 이후 행위는 확인되지 않는다.
- call(“kernel32”, “WinExec”, “JFJ”, “wscript //e:vbscript //b “”C:\\Users\\[user명]\\AppData\\Roaming\\desktop.ini”””, 5)
프로세스 트리
추가로 해당 악성코드를 유포한 메일의 발신자 아이디(kaisjovrnal)를 확인한 결과 아래와 같이 …
ASEC 분석팀은 이달 초 타겟형 공격으로 추정되는 악성 워드 문서를 소개하였으며, 최근 해당 유형의 악성코드가 새로운 내용으로 유포됨을 확인하였다. 악성코드는 아래와 같이 메일을 통해 유포되었으며, 국내 하계학술대회 관리자를 사칭하고 있다. 메일에는 ‘[** 하계학술대회]_양력.doc’가 첨부되어 있고 해당 파일 작성을 유도한다.
유포 메일 내용
메일에 첨부된 워드 파일은 아래와 같으며 악성 매크로가 존재한다. 문서의 작성자와 수정자 모두 이전에 발견된 ‘사례비지급 의뢰서’와 일치하며 동일한 공격자의 수행으로 추정된다. (https://asec.ahnlab.com/ko/24220/)
문서 속성
악성 워드 파일
해당 파일 역시 이전 ‘사례비지급 의뢰서’와 동일하게 단순히 파일을 오픈하는 것만으로는 악성 행위가 발현되지 않는다. 사용자가 문서에 텍스트를 입력할 시에 악성 매크로가 실행된다. 매크로 실행 시 아래 URL에서 데이터를 받아와 %APPDATA%\desktop.ini 파일로 저장한다.
- 다운로드 URL : hxxp://daewon3765.cafe24.com/about/down/download.php?filename=[사용자명]
이후 아래와 같이 ExcelApp.ExecuteExcel4Macro(cmd) 함수를 통해 엑셀에서 아래 명령어로 desktop.ini 파일을 실행한다. 현재 추가 데이터를 받아오는 주소로 접근이 불가하여 이후 행위는 확인되지 않는다.
- call(“kernel32”, “WinExec”, “JFJ”, “wscript //e:vbscript //b “”C:\\Users\\[user명]\\AppData\\Roaming\\desktop.ini”””, 5)
프로세스 트리
추가로 해당 악성코드를 유포한 메일의 발신자 아이디(kaisjovrnal)를 확인한 결과 아래와 같이 …
IoC
http://taesan109.myartsonline.com/about/post/info.php
http://페이지hxxps://smyun0272.blogspot.com/2021/06/dootakim.html
http://daewon3765.cafe24.com/about/down/download.php?filename=[
https://kaisjovrnal.blogspot.com
http://daewon3765.cafe24.com/about/post/info.php
http://deawon3765.cafe24.com
https://asec.ahnlab.com/ko/24220/
https://smyun0272.blogspot.com/2021/06/dootakim.html
http://페이지hxxps://smyun0272.blogspot.com/2021/06/dootakim.html
http://daewon3765.cafe24.com/about/down/download.php?filename=[
https://kaisjovrnal.blogspot.com
http://daewon3765.cafe24.com/about/post/info.php
http://deawon3765.cafe24.com
https://asec.ahnlab.com/ko/24220/
https://smyun0272.blogspot.com/2021/06/dootakim.html