Home > 전체기사

북한發 사이버공격 급증하나? 대북 관련 악성 워드파일 지속 발견

  |  입력 : 2021-10-31 23:35
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
이전 공격에 사용됐던 매크로 코드 사용한 문서들 발견돼

[보안뉴스 원병철 기자] 최근 대북관련 내용을 포함한 악성 워드 문서가 지속적으로 유포되고 있어 주의가 요구된다. 이에 연말로 접어들면서 북한발 사이버공격이 급증하는 건 아닌지 우려가 커지고 있다. 안랩 ASEC 분석팀은 확인된 워드 파일에 포함된 매크로 코드는 이전에 게시된 ‘수출용 골드바 매매 계약서’로 위장한 악성 워드문서에서 확인되었던 것과 유사하다고 밝혔다.

▲질의서-7월 방송.docm의 본문[자료=ASEC]


안랩 ASEC 분석팀에 따르면 최근 확인된 파일명은 총 5개다. 확인된 파일 중 다수의 워드 문서에서 파일명 또는 본문에 대북 관련 내용을 담고 있는 것이 특징이다.

△중국의 군사전략 분석 및 미래 군사전략 전망.doc (10/25 확인)
△질의서-12월 방송.doc (10/28 확인)
△질의서-7월 방송.docm (10/1 확인)
△KF 대양주 차세대 정책전문가 네트워크_발제안내 (2).doc (10/7 확인)
△210813_업무연락(사이버안전).doc (8월 확인)


△중국의 군사전략 분석 및 미래 군사전략 전망.doc
‘중국의 군사전략 분석 및 미래 군사전략 전망.doc’에 포함된 매크로에는 아래와 같이 문서보호 해제와 관련된 코드가 존재한다. 설정된 비밀번호는 1qaz2wsx로 ‘대북관련 본문 내용의 External 링크를 이용한 악성 워드 문서’에 설명한 문서와 동일한 암호를 사용해 해당 파일 역시 동일한 공격자가 제작한 것으로 추정된다.

▲‘중국의 군사전략 분석 및 미래 군사전략 전망.doc’ 문서 보호 해제 관련 코드[자료=ASEC]


사용자가 워드 파일 실행 후 매크로 허용 시 AutoOpen()을 통해 악성 매크로가 자동으로 실행된다. 악성 매크로는 위의 문서 보호 해제코드 실행 후 ‘hxxp://sarvice.medianewsonline[.]com/file/uplload/list.php?query=1’에서 추가 데이터를 받아와 1589989024.xml에 저장한다. 악성 행위를 수행하는 매크로 코드는 다음과 같다.

▲‘중국의 군사전략 분석 및 미래 군사전략 전망.doc’의 매크로 코드 일부[자료=ASEC]


△질의서-12월 방송.doc
‘질의서-12월 방송.doc’의 경우 앞서 설명한 워드 파일의 매크로 코드보다 조금 더 난독화가 되어 있다.

▲질의서-12월 방송.doc의 매크로 코드 일부[자료=ESRC]


해당 매크로 역시 ‘중국의 군사전략 분석 및 미래 군사전략 전망.doc’와 동일한 악성 행위를 수행한다. 또한, ‘질의서-12월 방송.doc’의 워드 파일은 수집되지 않았지만 이와 유사한 파일명을 지닌 ‘질의서-7월 방송.docm’ 파일은 다음과 같이 대북 관련 내용이 존재한다.

△질의서-7월 방송.docm
아래는 유사 매크로 파일에서 확인한 추가 C2 주소이다.
hxxp://smgfishing.co[.]kr/theme/basic/mobile/skin/new/basic/list.php?query=1
hxxp://tinytalk.mygamesonline[.]org/web/fell/list.php?query=1
hxxp://sendlucky.scienceontheweb[.]net/ben/chads/list.php?query=1
hxxp://bipaf[.]org/bbs/zipcode/style/css/list.php?query=1

안랩 ASEC 분석팀은 “악성 매크로를 포함한 대북 관련 워드 문서는 다양한 파일명과 내용들로 꾸준히 유포되고 있다”면서, “해당 유형의 파일들의 경우 매크로 사용 시 실제 관련 내용을 포함하고 있어 사용자가 악성 파일임을 인지하기 어렵기 때문에 각별한 주의가 필요하다”고 조언했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
파워비즈배너 시작 11월6일 20181105-20200131위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2022년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
다크웹의 대중화 추세, 사이버범죄의 확산을 이끌다
월패드 등 가정집 노리는 해킹, IoT 보안의 패러다임을 바꿔라
클라우드 확산에 따른 보안 위협, 이제부터가 진짜 시작
전략의 혁신으로 중흥기 맞은 랜섬웨어
분산 네트워크와 제로트러스트의 대두
대선·올림픽·월드컵 등 대형 이벤트 노린 사이버공격 대응
메타버스·NFT 등 가상세계 플랫폼 확산과 보안위협
수술실·지하철·요양원까지... CCTV 의무 설치 확대
중대재해처벌법 시행에 따른 안전과 보안장비의 융합
비대면 트렌드에 따른 인증수단 다양화와 보안 강화