Home > 전체기사

북한發 사이버공격 급증하나? 대북 관련 악성 워드파일 지속 발견

  |  입력 : 2021-10-31 23:35
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
이전 공격에 사용됐던 매크로 코드 사용한 문서들 발견돼

[보안뉴스 원병철 기자] 최근 대북관련 내용을 포함한 악성 워드 문서가 지속적으로 유포되고 있어 주의가 요구된다. 이에 연말로 접어들면서 북한발 사이버공격이 급증하는 건 아닌지 우려가 커지고 있다. 안랩 ASEC 분석팀은 확인된 워드 파일에 포함된 매크로 코드는 이전에 게시된 ‘수출용 골드바 매매 계약서’로 위장한 악성 워드문서에서 확인되었던 것과 유사하다고 밝혔다.

▲질의서-7월 방송.docm의 본문[자료=ASEC]


안랩 ASEC 분석팀에 따르면 최근 확인된 파일명은 총 5개다. 확인된 파일 중 다수의 워드 문서에서 파일명 또는 본문에 대북 관련 내용을 담고 있는 것이 특징이다.

△중국의 군사전략 분석 및 미래 군사전략 전망.doc (10/25 확인)
△질의서-12월 방송.doc (10/28 확인)
△질의서-7월 방송.docm (10/1 확인)
△KF 대양주 차세대 정책전문가 네트워크_발제안내 (2).doc (10/7 확인)
△210813_업무연락(사이버안전).doc (8월 확인)


△중국의 군사전략 분석 및 미래 군사전략 전망.doc
‘중국의 군사전략 분석 및 미래 군사전략 전망.doc’에 포함된 매크로에는 아래와 같이 문서보호 해제와 관련된 코드가 존재한다. 설정된 비밀번호는 1qaz2wsx로 ‘대북관련 본문 내용의 External 링크를 이용한 악성 워드 문서’에 설명한 문서와 동일한 암호를 사용해 해당 파일 역시 동일한 공격자가 제작한 것으로 추정된다.

▲‘중국의 군사전략 분석 및 미래 군사전략 전망.doc’ 문서 보호 해제 관련 코드[자료=ASEC]


사용자가 워드 파일 실행 후 매크로 허용 시 AutoOpen()을 통해 악성 매크로가 자동으로 실행된다. 악성 매크로는 위의 문서 보호 해제코드 실행 후 ‘hxxp://sarvice.medianewsonline[.]com/file/uplload/list.php?query=1’에서 추가 데이터를 받아와 1589989024.xml에 저장한다. 악성 행위를 수행하는 매크로 코드는 다음과 같다.

▲‘중국의 군사전략 분석 및 미래 군사전략 전망.doc’의 매크로 코드 일부[자료=ASEC]


△질의서-12월 방송.doc
‘질의서-12월 방송.doc’의 경우 앞서 설명한 워드 파일의 매크로 코드보다 조금 더 난독화가 되어 있다.

▲질의서-12월 방송.doc의 매크로 코드 일부[자료=ESRC]


해당 매크로 역시 ‘중국의 군사전략 분석 및 미래 군사전략 전망.doc’와 동일한 악성 행위를 수행한다. 또한, ‘질의서-12월 방송.doc’의 워드 파일은 수집되지 않았지만 이와 유사한 파일명을 지닌 ‘질의서-7월 방송.docm’ 파일은 다음과 같이 대북 관련 내용이 존재한다.

△질의서-7월 방송.docm
아래는 유사 매크로 파일에서 확인한 추가 C2 주소이다.
hxxp://smgfishing.co[.]kr/theme/basic/mobile/skin/new/basic/list.php?query=1
hxxp://tinytalk.mygamesonline[.]org/web/fell/list.php?query=1
hxxp://sendlucky.scienceontheweb[.]net/ben/chads/list.php?query=1
hxxp://bipaf[.]org/bbs/zipcode/style/css/list.php?query=1

안랩 ASEC 분석팀은 “악성 매크로를 포함한 대북 관련 워드 문서는 다양한 파일명과 내용들로 꾸준히 유포되고 있다”면서, “해당 유형의 파일들의 경우 매크로 사용 시 실제 관련 내용을 포함하고 있어 사용자가 악성 파일임을 인지하기 어렵기 때문에 각별한 주의가 필요하다”고 조언했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 23년 1월12일 수정 위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2023년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
보안에서 진짜 ‘핫’한 제로트러스트와 공급망 보안
전문화, 분업화로 더욱 심해지는 랜섬웨어 공포
2023년 클라우드 생태계를 위협할 다양한 보안이슈들
전 국민이 사용하는 스마트폰, 2023년 해커의 집중 타깃
피싱 공격, 새로운 서비스형 위협 ‘PhaaS’로 더 악랄해지다
2022년 말에 터진 서명키 탈취사건, 2023년의 서막에 불과하다
밀집도 모니터링, 지능형 CCTV와 영상분석 트렌드 주도
주 52시간 근무제 달라지나? 정부 정책 따라 출입·근태 인증 보안 시장 요동
메타버스, 주목받는 만큼 증가하는 보안위협
스마트농업 육성 본격화, 보안과 안전 기반 하에 추진돼야