Home > 전체기사

북한發 사이버공격 급증하나? 대북 관련 악성 워드파일 지속 발견

  |  입력 : 2021-10-31 23:35
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
이전 공격에 사용됐던 매크로 코드 사용한 문서들 발견돼

[보안뉴스 원병철 기자] 최근 대북관련 내용을 포함한 악성 워드 문서가 지속적으로 유포되고 있어 주의가 요구된다. 이에 연말로 접어들면서 북한발 사이버공격이 급증하는 건 아닌지 우려가 커지고 있다. 안랩 ASEC 분석팀은 확인된 워드 파일에 포함된 매크로 코드는 이전에 게시된 ‘수출용 골드바 매매 계약서’로 위장한 악성 워드문서에서 확인되었던 것과 유사하다고 밝혔다.

▲질의서-7월 방송.docm의 본문[자료=ASEC]


안랩 ASEC 분석팀에 따르면 최근 확인된 파일명은 총 5개다. 확인된 파일 중 다수의 워드 문서에서 파일명 또는 본문에 대북 관련 내용을 담고 있는 것이 특징이다.

△중국의 군사전략 분석 및 미래 군사전략 전망.doc (10/25 확인)
△질의서-12월 방송.doc (10/28 확인)
△질의서-7월 방송.docm (10/1 확인)
△KF 대양주 차세대 정책전문가 네트워크_발제안내 (2).doc (10/7 확인)
△210813_업무연락(사이버안전).doc (8월 확인)


△중국의 군사전략 분석 및 미래 군사전략 전망.doc
‘중국의 군사전략 분석 및 미래 군사전략 전망.doc’에 포함된 매크로에는 아래와 같이 문서보호 해제와 관련된 코드가 존재한다. 설정된 비밀번호는 1qaz2wsx로 ‘대북관련 본문 내용의 External 링크를 이용한 악성 워드 문서’에 설명한 문서와 동일한 암호를 사용해 해당 파일 역시 동일한 공격자가 제작한 것으로 추정된다.

▲‘중국의 군사전략 분석 및 미래 군사전략 전망.doc’ 문서 보호 해제 관련 코드[자료=ASEC]


사용자가 워드 파일 실행 후 매크로 허용 시 AutoOpen()을 통해 악성 매크로가 자동으로 실행된다. 악성 매크로는 위의 문서 보호 해제코드 실행 후 ‘hxxp://sarvice.medianewsonline[.]com/file/uplload/list.php?query=1’에서 추가 데이터를 받아와 1589989024.xml에 저장한다. 악성 행위를 수행하는 매크로 코드는 다음과 같다.

▲‘중국의 군사전략 분석 및 미래 군사전략 전망.doc’의 매크로 코드 일부[자료=ASEC]


△질의서-12월 방송.doc
‘질의서-12월 방송.doc’의 경우 앞서 설명한 워드 파일의 매크로 코드보다 조금 더 난독화가 되어 있다.

▲질의서-12월 방송.doc의 매크로 코드 일부[자료=ESRC]


해당 매크로 역시 ‘중국의 군사전략 분석 및 미래 군사전략 전망.doc’와 동일한 악성 행위를 수행한다. 또한, ‘질의서-12월 방송.doc’의 워드 파일은 수집되지 않았지만 이와 유사한 파일명을 지닌 ‘질의서-7월 방송.docm’ 파일은 다음과 같이 대북 관련 내용이 존재한다.

△질의서-7월 방송.docm
아래는 유사 매크로 파일에서 확인한 추가 C2 주소이다.
hxxp://smgfishing.co[.]kr/theme/basic/mobile/skin/new/basic/list.php?query=1
hxxp://tinytalk.mygamesonline[.]org/web/fell/list.php?query=1
hxxp://sendlucky.scienceontheweb[.]net/ben/chads/list.php?query=1
hxxp://bipaf[.]org/bbs/zipcode/style/css/list.php?query=1

안랩 ASEC 분석팀은 “악성 매크로를 포함한 대북 관련 워드 문서는 다양한 파일명과 내용들로 꾸준히 유포되고 있다”면서, “해당 유형의 파일들의 경우 매크로 사용 시 실제 관련 내용을 포함하고 있어 사용자가 악성 파일임을 인지하기 어렵기 때문에 각별한 주의가 필요하다”고 조언했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해 기업에서의 클라우드 도입이 본격 확산될 것으로 보이는 가운데 이에 따른 보안 이슈도 부각되고 있습니다. 클라우드 보안 강화를 위한 방안으로 가장 주목 받을 솔루션은 무엇이라고 보시나요?
CASB(Cloud Access Security Broker, 클라우드 접근 보안중개)
CSPM(Cloud Security Posture Management, 클라우드 보안 형상 관리)
CWPP(Cloud Workload Protection Platform, 클라우드 워크로드 보호 플랫폼)
기타(댓글로)