스마트한 쇼핑검색, 다나와! : 가격비교 사이트

다나와 앱
다나와 앱 서비스 목록
다나와 APP No.1 가격비교사이트 다나와 앱으로
간편하게 최저가를 확인하세요.
- -
QR코드
빈 이미지
다나와 앱 서비스 목록 닫기

악성 외부 링크를 이용한 워드 파일 주의!

IP
2021.11.05. 06:21:29
조회 수
232
14
비공감 수
1
댓글 수
26

* 출처는 안랩입니다.


* 아래는 내용중 일부입니다.


최근 ASEC은 악성 워드 내 매크로를 실행시키기 위한 상위 공격 과정에서 C2가 살아있는 외부(External) 링크를 이용한 워드 샘플을 확인했다. 이러한 방식은 주로 대북 관련 본문 내용의 악성 워드​에서 사용되어 왔으며, 이전 시큐리티레터(대북관련 본문 내용의 External 링크를 이용한 악성 워드 문서​)에서도 소개한 바 있다. 이번에 발견된 악성 워드의 실행 과정은 과거와 어떻게 비슷한지 알아본다.

 


 

이번에 발견된 악성 워드는 아래와 같은 실행 흐름으로 동작한다. 놀랍게도 과거에 소개한 동작 방식과 동일하다.

 •실행 흐름 : 악성 XML(External 링크 연결)이 포함된 워드 실행 후 추가 악성 파일 다운로드 시도 → 악성 매크로가 포함된 워드 다운로드 → 매크로를 통해 추가 악성 PE 백도어 다운로드

 


 

외부(External) 링크 연결에 사용된 주소북한 공격 그룹에서 자주 사용하였던 특정 도메인 호스팅 atwebpages[.]com을 이용한 주소다. 해당 도메인 사용 케이스 중 “kr[숫자].atwebpages[.]com“와 같은 형식의 도메인이 사용되었던 이력은 다음과 같다.

 

  

[표 1] – “kr[숫자].atwebpages[.]com” 형식을 이용한 악성 워드 파일명


* 전체내용은 아래링크에서 확인하세요.

https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=30883&utm_source=CM&utm_medium=eDM&utm_campaign=SL%5FtypeC&utm_content=892

공감/비공감
14 1
공감/비공감 안내 도움말 보기
유용하고 재미있는 정보인가요?
유용하고 재미있는 글, 댓글에는 주저 없이 공감을 눌러주세요!
공감을 원하시면 좌측의 공감 아이콘을 클릭하고 다나와 포인트도 받으세요.

plc-wave 님의 다른 글 보기

1/8
자유게시판 최신 글 전체 둘러보기
1/1
연휴 첫날 마무리 하네요. (1)
좌식컴퓨터책상인데 모니터암설치가능한게있을까요?
오후 9시 코로나19 추가 (2)
msi b660m 박격포 ddr4 사용기 (2)
토요일 마무리합니다. (1)
오징어 게임, 비영어권 최초 미 제작자조합상 후보 (1)
ㅇㅣㄱㅓ ㅇㅓㄸㅓㅎㄱㅔ ㅎㅐㅇㅑㅎㅏㄴㅡㄴㅈㅣㅇㅏㅅㅣㄴㅡㄴㅂㅜㄴ (6)
즐거운 설연휴 보내세요:) (5)
우와~ 5600X 가격 많이 떨어졌네요. (3)
레벨업 어떻게 하나요? (7)
다시 또 한낮이 딱 좋은 (2)
이거참 그렇게 안나오던게 여기서 왜이렇게 잘 나오는거죠? (3)
설 연휴 첫날 토요일 이네요 (4)
[MV] 우주소녀 쪼꼬미(CHOCOME) - 슈퍼 그럼요(Super Yuppers!)
2월 8일 화요일 19시! 브로리의 비밀상점, 롤로아 최적화 라라랜드로 구성 진행 (4)
벌써부터 한산해지는 분위기??! (9)
메타(구 페이스북), 암호화폐 사업 ‘디엠’ 정리 소문 (1)
'보이스피싱' 앱 5천개…해킹조직 3곳서 대부분 유포 (3)
우크라이나 사태로 인해 국제 유가 7년여만에 최고치 급등 (1)
해피연휴 보내세용 ^^♡ (6)
이 시간 HOT 댓글!
1/4