* 출처는 안랩입니다.
* 아래는 내용중 일부입니다.
최근 ASEC은 악성 워드 내 매크로를 실행시키기 위한 상위 공격 과정에서 C2가 살아있는 외부(External) 링크를 이용한 워드 샘플을 확인했다. 이러한 방식은 주로 대북 관련 본문 내용의 악성 워드에서 사용되어 왔으며, 이전 시큐리티레터(대북관련 본문 내용의 External 링크를 이용한 악성 워드 문서)에서도 소개한 바 있다. 이번에 발견된 악성 워드의 실행 과정은 과거와 어떻게 비슷한지 알아본다.
이번에 발견된 악성 워드는 아래와 같은 실행 흐름으로 동작한다. 놀랍게도 과거에 소개한 동작 방식과 동일하다.
•실행 흐름 : 악성 XML(External 링크 연결)이 포함된 워드 실행 후 추가 악성 파일 다운로드 시도 → 악성 매크로가 포함된 워드 다운로드 → 매크로를 통해 추가 악성 PE 백도어 다운로드
외부(External) 링크 연결에 사용된 주소는 북한 공격 그룹에서 자주 사용하였던 특정 도메인 호스팅 atwebpages[.]com을 이용한 주소다. 해당 도메인 사용 케이스 중 “kr[숫자].atwebpages[.]com“와 같은 형식의 도메인이 사용되었던 이력은 다음과 같다.
[표 1] – “kr[숫자].atwebpages[.]com” 형식을 이용한 악성 워드 파일명
* 전체내용은 아래링크에서 확인하세요.
https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=30883&utm_source=CM&utm_medium=eDM&utm_campaign=SL%5FtypeC&utm_content=892