2022-05-24 09:45 (화)
북한 4.25 열병식 내용 등 외교·안보 관련 악성 워드 문서 지속 유포중
상태바
북한 4.25 열병식 내용 등 외교·안보 관련 악성 워드 문서 지속 유포중
  • 길민권 기자
  • 승인 2022.05.03 16:09
이 기사를 공유합니다

이메일 첨부 파일 형태로 유포중...출처 불분명한 메일의 첨부파일 주의
악성 워드 문서 샘플 (출처=안랩 ASEC 블로그)
악성 워드 문서 샘플 (출처=안랩 ASEC 블로그)

안랩 ASEC 분석팀에 따르면, 4월 29일 북한 열병식 관련 내용의 악성 워드 문서 유포 정황을 확인했다고 밝혔다. 

유포자는 침해된 것으로 추정되는 국내 웹 서버에 악성 워드 문서를 업로드했다. 웹 서버에는 악성 워드 문서 뿐만 아니라 공격자가 OLE 개체 첨부 형태나 EPS 취약점 방식의 악성 한글 문서 유포에 사용한 것으로 추정되는 정상 한글 문서 2건도 함께 업로드되어 있었던 것으로 분석됐다. 

ASEC 분석팀은 “공격자는 지속적으로 안보, 정치, 외교 관계자를 대상으로 공격을 수행중이다. 악성 워드 문서의 경우 주로 이메일의 첨부 파일 형태로 유포되므로 출처가 불분명한 대상으로 부터 받은 이메일의 첨부 파일 실행 및 매크로 허용을 자제해야 한다”고 강조했다. 

또 4월 27일, ASEC 분석팀은 대북 관련 파일명으로 악성 워드 문서가 지속적으로 유포되고 있음을 확인했다. 외교, 안보 관련 원드문서들이다. 

해당 워드 문서에는 악성 VBA 매크로 코드가 포함되어 있으며 ‘대북 관련 본문 내용 악성 워드의 지속 유포 정황 확인’에서 소개한 문서 파일과 동일한 유형으로 확인된다. 최근 유포가 확인된 워드 문서의 파일명은 다음과 같다.

-220426-북한의 외교정책과 우리의 대응방향(정**박사).doc (4/26)

-북한의 외교정책과 우리의 대응방향.doc (4/26)

-중국의 외교정책과 우리의 대응방향.doc (4/22)

-보도자료-원코리아국제포럼 2022 -20220422.docm (4/23)

-[분석자료] 4.25 열병식을 통해 본 북한의 핵무력 사용 입장과 군부 엘리트 변동의 함의.docm (4/26)

확인된 매크로 코드에는 특정 URL에 접속하여 받아온 데이터를 실행하는 코드가 포함되어 있다. ‘북한의 외교정책과 우리의 대응방향.doc’ 파일에서 확인된 매크로 코드에는 다음과 같이 난독화된 문자열이 존재한다.

ASEC 분석팀은 “해당 악성코드를 제작하는 것으로 추정되는 공격 그룹은 대북 관련 내용으로 악성 워드 문서를 지속적으로 유포하고 있어 관련 사용자들의 주의가 필요하다”며 “사용자는 출처가 불분명한 이메일의 첨부파일 실행 및 매크로 사용을 자제해야 한다. 사용자 PC 정보 유출 등 피해로 이어질 수 있어 각별한 주의가 필요하다”고 당부했다. 

★정보보안 대표 미디어 데일리시큐!★