CVE-2021-40444 취약점을 이용한 대북 관련 악성 문서
Contents
ASEC 분석팀에서는 최근 마이크로소프트에서 9월에 발표한 신규 취약점인 CVE-2021-40444를 포함한 문서 파일들이 유포되고 있는 정황을 확인하였다. 주목할 점은 확인된 문서들이 대북관련이라는 점이다. 대북과 관련한 악성 문서들은 과거부터 지속 새로운 방식으로 발전하고 있는데 최신 취약점을 사용한 것이 확인된 만큼 관련 공격자들이 발빠르게 새로운 기법들을 적용하여 유포 시도하고 있는 것을 알 수 있다.
취약점 CVE-2021-40444는 MSHTML 관련 원격 코드 실행이 가능한 취약점으로 MSHTML은 Internet Explorer 및 Office 문서 작업 프로그램 내 브라우저 렌더링 엔진이다. 해당 취약점은 Internet Explorer 및 Office 문서 작업 프로그램에서 작동한다. 랜섬웨어인 매그니베르도 9월부터 해당 취약점을 악용하여 Internet Explorer를 통해 지금까지 유포되고 있다.
해당 취약점을 포함한 Office 문서는 아래와 같은 파일명으로 유포되고 있으며, 대북과 관련한 파일명으로 이루어져 있다.
● (2021-1118) 통일**원-**대 통일****원 공동세미나 프로그램(final).docx
● +북.중.러 초국경협력 촉진을 위한 길잡이.docx
취약점 작동 방식은 아래 그림과 같이 External 링크를 이용하였으며, 아래와 같은 순서대로 공격이 진행된다.
- MHTML(MIME HTML) 프로토콜을 통해 악성 URL에 접근
- Office 문서 프로그램 내 브라우저 렌더링 엔진을 이용하여 악성 구문으로 이루어진 자바스크립트 실행
- …
취약점 CVE-2021-40444는 MSHTML 관련 원격 코드 실행이 가능한 취약점으로 MSHTML은 Internet Explorer 및 Office 문서 작업 프로그램 내 브라우저 렌더링 엔진이다. 해당 취약점은 Internet Explorer 및 Office 문서 작업 프로그램에서 작동한다. 랜섬웨어인 매그니베르도 9월부터 해당 취약점을 악용하여 Internet Explorer를 통해 지금까지 유포되고 있다.
해당 취약점을 포함한 Office 문서는 아래와 같은 파일명으로 유포되고 있으며, 대북과 관련한 파일명으로 이루어져 있다.
● (2021-1118) 통일**원-**대 통일****원 공동세미나 프로그램(final).docx
● +북.중.러 초국경협력 촉진을 위한 길잡이.docx
취약점 작동 방식은 아래 그림과 같이 External 링크를 이용하였으며, 아래와 같은 순서대로 공격이 진행된다.
- MHTML(MIME HTML) 프로토콜을 통해 악성 URL에 접근
- Office 문서 프로그램 내 브라우저 렌더링 엔진을 이용하여 악성 구문으로 이루어진 자바스크립트 실행
- …
IoC
1132d2a12b6fd6cbbc8046df3612d725
2edbab4834a1315b476278fb6ed2592f
809c4c40537c60e224363b94296fbbf2
http://officeversion.mywebcommunity.org/ole/
2edbab4834a1315b476278fb6ed2592f
809c4c40537c60e224363b94296fbbf2
http://officeversion.mywebcommunity.org/ole/