* 출처는 안랩입니다.
* 대북 관련 문서 이용한 IE 제로데이 공격이 유포되고 있다니 주의하시기
바라며 글 올립니다.
* 아래는 기사중 일부입니다.
대북 관련 악성 문서는 과거부터 공격자들이 꾸준히 이용한 공격 방식이지만, 최근 공격자들은 신규 취약점을 활용하는 등 발빠르게 새로운 기법들은 적용해 유포를 시도하고 있다.
CVE-2021-40444는 MSHTML 관련 원격 코드 실행이 가능한 취약점이다. MSHTML은 인터넷 익스플로러 브라우저 렌더링 엔진으로, 인터넷 익스플로러 및 오피스 문서 작업 프로그램에서 작동한다. 매그니베르 랜섬웨어도 9월부터 해당 취약점을 악용해 인터넷 익스플로러를 통해 지금까지 유포되고 있다.
해당 취약점(CVE-2021-40444)을 포함한 워드(.docx) 문서는 다음과 같이 대북 관련 파일명으로 유포되고 있다.
■ (2021-1118) 통일**원-**대 통일****원 공동세미나 프로그램(final).docx
■ +북.중.러 초국경협력 촉진을 위한 길잡이.docx
취약점 작동 방식은 [그림 1]과 같이 외부(External) 링크를 이용하고 있으며, 아래와 같은 순서대로 공격이 진행된다.
1.MHTML(MIME HTML) 프로토콜을 통해 악성 URL에 접근
2.오피스 문서 프로그램 내 브라우저 렌더링 엔진을 이용해 악성 구문으로 이루어진 자바스크립트(JavaScript) 실행
3.CAB 파일을 다운로드하여 CAB 파일 내 INF 확장자를 가진 악성 DLL 파일을 로드해 악성 행위 실행
[그림 1] 악성 문서 파일 내 XML 파일에 삽입되어 있는 외부(External) 링크
* 전체내용은 아래 링크에서 확인하세요.
https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=30953&utm_source=CM&utm_medium=eDM&utm_campaign=SL%5FtypeC&utm_content=894