MS Media Player 이용한 악성 워드문서 (안랩사칭)
Contents
MS Media Player 이용한 악성 워드문서 (안랩사칭)
ASEC 분석팀은 지난주 “기업 사용자 타겟의 악성 워드 문서 유포 중“에서 작성한 유형의 악성 워드 문서가 안랩을 사칭하는 문구를 포함하여 유포되고 있음을 확인하였다. 이번에 확인된 워드 문서는 External 연결을 통해 악성 VBA 매크로가 포함된 워드 문서를 다운로드 받아 실행하는 방식으로 동작한다. 또 다른 차이점은 추가로 다운로드된 워드 문서에서 악성 VBA 매크로를 자동으로 실행하기 위해 기존의 AutoOpen() 함수가 아닌 Windows Media Player() 함수를 이용하였다는 점이다. 이는 AutoOpen() 함수 기반의 매크로 자동 실행을 탐지하는 보안 제품을 우회하기 위한 시도로 추정된다.
확인된 문서의 파일명은 다음과 같다.
– NFT 분할.docx
– 202203_BTC_ETH_추가계정정보.docx
– 유사수신행위 고소장.docx
– 유사수신고소장.docx
– BTC_ETH자동매매계정정보.docx
– 암호화폐_투자기획.docx
워드 문서 실행 시 내부 word\_rels\settings.xml.rels 파일에 존재하는 External URL을 이용하여 워드 매크로(dotm) 파일을 다운로드 받아 실행한다.
Extrenal URL을 통해 다운로드가 정상적으로 이루어지면 아래와 같이 매크로가 포함된다. 공격자는 매크로 허용을 유도하기 위해 자사를 사칭한 이미지와 문구를 삽입하였다.
사용자가 콘텐츠 사용 버튼 클릭 시 External URL을 통해 다운로드한 워드 문서에 존재하는 악성 VBA 매크로가 실행된다.
해당 매크로에는 기존 워드 …
ASEC 분석팀은 지난주 “기업 사용자 타겟의 악성 워드 문서 유포 중“에서 작성한 유형의 악성 워드 문서가 안랩을 사칭하는 문구를 포함하여 유포되고 있음을 확인하였다. 이번에 확인된 워드 문서는 External 연결을 통해 악성 VBA 매크로가 포함된 워드 문서를 다운로드 받아 실행하는 방식으로 동작한다. 또 다른 차이점은 추가로 다운로드된 워드 문서에서 악성 VBA 매크로를 자동으로 실행하기 위해 기존의 AutoOpen() 함수가 아닌 Windows Media Player() 함수를 이용하였다는 점이다. 이는 AutoOpen() 함수 기반의 매크로 자동 실행을 탐지하는 보안 제품을 우회하기 위한 시도로 추정된다.
확인된 문서의 파일명은 다음과 같다.
– NFT 분할.docx
– 202203_BTC_ETH_추가계정정보.docx
– 유사수신행위 고소장.docx
– 유사수신고소장.docx
– BTC_ETH자동매매계정정보.docx
– 암호화폐_투자기획.docx
워드 문서 실행 시 내부 word\_rels\settings.xml.rels 파일에 존재하는 External URL을 이용하여 워드 매크로(dotm) 파일을 다운로드 받아 실행한다.
Extrenal URL을 통해 다운로드가 정상적으로 이루어지면 아래와 같이 매크로가 포함된다. 공격자는 매크로 허용을 유도하기 위해 자사를 사칭한 이미지와 문구를 삽입하였다.
사용자가 콘텐츠 사용 버튼 클릭 시 External URL을 통해 다운로드한 워드 문서에 존재하는 악성 VBA 매크로가 실행된다.
해당 매크로에는 기존 워드 …
IoC
http://ZVc1ijAU.naveicoipc.tech/ACMS/0lvNAK1t/0lvNAK1t32.acm
http://ZVc1ijAU.naveicoipc.tech/ACMS/0lvNAK1t/0lvNAK1t64.acm
http://ZVc1ijAU.naveicoipc.tech/ACMS/0lvNAK1t/0lvNAK1t64.acm