* 출처는 안랩입니다.

* 아래는 내용중 일부입니다.

최근 ASEC은 악성 워드 내 매크로를 실행시키기 위한 상위 공격 과정에서 C2가 살아있는 외부(External) 링크를 이용한 워드 샘플을 확인했다. 이러한 방식은 주로 대북 관련 본문 내용의 악성 워드​에서 사용되어 왔으며, 이전 시큐리티레터(대북관련 본문 내용의 External 링크를 이용한 악성 워드 문서​)에서도 소개한 바 있다. 이번에 발견된 악성 워드의 실행 과정은 과거와 어떻게 비슷한지 알아본다.

이번에 발견된 악성 워드는 아래와 같은 실행 흐름으로 동작한다. 놀랍게도 과거에 소개한 동작 방식과 동일하다.

 •실행 흐름 : 악성 XML(External 링크 연결)이 포함된 워드 실행 후 추가 악성 파일 다운로드 시도 → 악성 매크로가 포함된 워드 다운로드 → 매크로를 통해 추가 악성 PE 백도어 다운로드

외부(External) 링크 연결에 사용된 주소는 북한 공격 그룹에서 자주 사용하였던 특정 도메인 호스팅 atwebpages[.]com을 이용한 주소다. 해당 도메인 사용 케이스 중 “kr[숫자].atwebpages[.]com“와 같은 형식의 도메인이 사용되었던 이력은 다음과 같다.

[표 1] – “kr[숫자].atwebpages[.]com” 형식을 이용한 악성 워드 파일명

* 전체내용은 아래링크에서 확인하세요.

https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=30883&utm_source=CM&utm_medium=eDM&utm_campaign=SL%5FtypeC&utm_content=892