보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

울진 산불 피해 기부금 영수증으로 위장한 APT 공격 주의!

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2022-03-30

지난 3월 초 울진, 삼척 일대에 큰 산불이 발생했다. 이로 인해 전국 각지에서 피해 복구와 이재민을 돕기 위한 기부 행렬이 이어졌다. 이런 와중에도 공격자들은 쉬지 않고 울진 산불과 관련된 악성 워드 문서로 APT 공격을 시도했다. 

 

이번 글에서는 '울진 산불 피해 기부금 영수증' 내용의 워드 문서를 이용한 APT 공격에 대해 알아본다.

 


 

ASEC 분석팀이 이번에 확인한 APT 공격은 지난 시큐리티레터 910호 "제품소개서로 위장한 악성 워드 문서"와 시큐리티레터 911호 "코인 관련 악성 문서를 이용한 APT 공격"에서 소개한 유포 방식과 매우 비슷하다. 

 

공격자는 ​ [그림 1]과 같이 기부금 영수증 내용의 악성 워드 문서를 유포하고​ 있으며, '콘텐츠 사용' 버튼을 통해 매크로 실행을 ​유도하고 있다.

 


 [그림 1] 기부금 영수증(ㅇㅇㅇ).doc

 

또한 문서가 최초 만들어진 날짜는 2021년 8월 31일 오전 1:55이고 ​문서를 마지막으로 수정한 이의 이름은 'Acer'이다. 이는 지난 시큐리티레터 910호 "제품소개서로 위장한 악성 워드 문서"시큐리티레터 911호 "코인 관련 악성 문서를 이용한 APT 공격"에서 소개한 악성 문서의 만든 날짜 및 작성자와 동일하다.

 


 [그림 2] 기부금 영수증(ㅇㅇㅇ).doc 파일 정보

 

공격 기법과 생성되는 파일의 기능은 기존에 소개한 “error.bat”과​ 동일했다. 그러나 ASEC 분석팀은 기존과 다른 부분도 확인했다. 그것은 바로 매크로 실행 시 생성되는 배치 파일명이 다르다는 것이다. 해당 배치 파일은 moster.bat으로 유포되었다. 

C:\Users\Public\Documents\moster.bat -> start.vbs 파일 레지스트리 RUN키 등록, no4.bat 파일 실행, 추가 파일 다운로드

 

공격자는 현재 대북 관계자 및 가상자산 관계자 뿐만 아니라 공격 대상을 다양하게 넓혀가고 있는 것으로 보인다. 사용자는 출처가 불분명한 사이트나 이메일로 부터 첨부 파일을 다운로드하는 것을 주의 해야하며, 특히 워드(Word)문서를 실행할 때 매크로 허용 버튼 유도하는 문구나 그림이 있다면 악성 매크로가 실행될 수 있으므로 각별히 유의해야 한다.

 

현재 안랩 V3 제품에서는 공격과 관련된 파일들을 탐지 및 차단하고 있다.

 

보다 자세한 사항은 ASEC 블로그를 통해 확인할 수 있다. 

▶ASEC 블로그 바로가기 ​ ​​

  • AhnLab 로고
  • ASEC 분석팀
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

지금 마케팅 안내 수신 동의하고
선물 받아가세요!

이벤트 내용 더 보기
세미나/제품/이벤트 안내

더 알아보기

개인정보 수집 및 이용 동의서

선물 발송을 위해 아래와 같이 개인정보를 수집 및 사용합니다.
동의를 거부할 수 있으나, 동의 거부 시 이벤트 참여가 불가능 합니다.

  1. ㆍ수집 항목 : 이름, 휴대전화번호
  2. ㆍ수집 목적 : 참여자 중복 확인, 공지 발송, 경품 발송
  3. ㆍ보유기간 : 이벤트 종료 후 지체 없이 파기(단, 당첨자의 경우 경품 배송 후 30일)
  4. ㆍ경품 발송 위탁: 쿠프마케팅 (모바일상품권 발송업체)
참여하기
닫기