사람들이 가장 많이 사용하는 파일 중 하나인 워드 문서를 악용한 악성 워드 유포
주로 피싱 메일을 이용해 악성 워드파일을 유포하여 사용자 시스템에 악성코드를 삽입, 정보 탈취 등의 행위를 수행한다.
특정 사용자를 타겟으로 사용자와 관련된 내용을 담은 내용 및 악성 워드파일을 전송하거나, 불특정 다수를 대상으로 주문서, 견적서 등의 일반적 내용을 담은 악성 워드파일을 전송한다.
21~22년 가장 활발히 유포된 악성 워드 유형 및 동작 과정
TA551(Shathak) 공격 그룹이 사용한 워드 문서가 21~22년 가장 활발히 유포된 악성 워드 문서라고 한다.
주로 불특정 다수에게 주문서처럼 보이는 워드파일을 압축하여 메일에 첨부하는 형태의 공격을 하였다.
 |
| https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=31738 |
2021년 유포된 악성 문서 파일명 중 일부는 다음과 같다.
|
Attached File |
Dropped HTA |
Downloaded Malware |
|
deed
contract_06.21.doc |
winSelBefore.hta |
winSelBefore.jpg |
|
charge,
06.28.2021.doc |
dCurTable.hta |
dCurTable.jpg |
|
decree.06.28.2021.doc |
doubleBorderlnt.hta |
doubleBorderlnt.jpg |
|
report-06.21.doc |
repoRequestDocument.hta |
repoRequestDocument.jpg |
|
facts,06.21.doc |
objectVarQuery.hta |
objectVarQuery.jpg |
|
report-09.21.doc |
1.hta |
docExobj.jpg |
|
ordain_09.21.doc |
divDocDev.jpg |
|
|
direct 09.21.doc |
winObj.jpg |
|
|
adjure 09.21.doc |
objWidDoc.jpg |
|
|
commerce .08.21.doc |
dirDirDrive.jpg |
|
|
document-08.30.2021.doc |
winEx.jpg |
|
|
commerce -08.21.doc |
devDevDiv.jpg |
|
|
deed
contract,09.21.doc |
docDirObj.jpg |
|
|
deed
contract-09.21.doc |
devDirWin.jpg |
동작은 아래의 그림과 같이 워드 문서의 매크로가 실행되면 HTA(HTML Application) 파일을 드롭(매크로 실행 시 파일 생성, HTA파일 데이터는 워드 본문 영역에 흰색 1pt 사이즈로 보이지 않게 있음)하고, 추가 악성코드를 다운로드하는 형식으로 작동한다고 한다.
 |
| https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=31738 |
매크로 허용을 유도하는 이미지를 단독으로 사용하고, 해당 그림을 지우면 흰색으로 된 데이터가(매크로 동작 시 다운되는 HTA 파일의 내용)숨어있다고 한다.
 |
| https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=31738 |
이후 내부의 매크로 코드, HTA 파일이 변형되고, 악성코드가 조금씩 변화되고 있다고 한다.
이는 백신 탐지를 우회하기 위한 방법들과, 더 많은 악성코드를 추가적으로 주입하기 위한 방법들로 보인다.
사용자의 입장에서 인지하고 조심해야 할 부분은 위의 내용들까지인 것으로 보인다.
백신도 최신으로 업데이트하여 관리해야 하지만 사용자가 메일 사용 시 경각심을 가지고 확인해야 할 것이다.
