11월 1일, KISA에서는 "이태원 사고 이슈를 악용한 사이버 공격에 대한 주의 권고" 보안 공지를 발표하였습니다.
관련 링크 : https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=66998
해당 공격에 사용된 것으로 판단되는 악성 워드 문서 파일이 바이러스토탈에 업로드된 것이 확인되어 샘플을 확보하여 분석을 진행하였습니다.
|
구분 |
내용 |
|
MD5 |
476027afdbf18c18e076fff71a8ef588 |
|
SHA-1 |
986de6bc24a480f6d0ab631f21bd5f38d70490d9 |
|
SHA-256 |
926a947ea2b59d3e9a5a6875b4de2bd071b15260370f4da5e2a60ece3517a32f |
|
File type |
Office Open XML Document |
|
File size |
135.46 KB (138715 bytes) |
[표 1] 샘플 정보
악성 워드 문서는 10월 31일 바이러스토탈에 업로드 되었으며, “221031 ★서울 용산 이태원사고 대처상황(06시).docx” 과 같은 형태의 이름으로 배포된 것으로 확인됩니다.
워드 문서에는 원격 템플릿 기능이 삽입되어 있으며, 문서 열람 시 외부에서 매크로가 포함된 템플릿을 다운로드 시도 합니다.
[그림 1] 문서 열람 시 원격 템플릿 다운로드 시도
원격 템플릿을 다운로드하는 도메인은 마이크로소프트로 위장하고 있지만, 마이크로소프트의 정상적인 도메인이 아닌 것으로 확인됩니다.
[그림 2] 원격 템플릿 다운로드 URL
- 원격 템플릿 다운로드 URL
https://ms-offices[.]com/templates-for-word/download?id=TYV6YAYWOPEKI61Y
문서 내용은 아래 그림과 같이 이태원 사고 이슈를 악용한 내용으로 작성되어 있기 때문에 일반적인 사용자들은 정상적인 문서로 오인하기 쉽습니다.
[그림 3] 문서 내용
분석 당시, 원격 템플릿 다운로드 URL이 비활성화되어 있어 추가적인 악성 행위는 확인할 수 없었습니다.
이와 같은 사회적 이슈를 악용하는 해킹 사례는 빈번히 발생하고 있습니다.
지난달에는 카카오 서비스 장애 이슈를 악용하여 카카오톡 업데이트 파일로 위장해 악성코드를 유포한 사례도 발견된 바 있습니다.
따라서, SNS나 이메일 등 출처가 불분명한 파일의 경우 열람 및 실행을 지양하도록 하며, 피해를 입은 경우 관련 기관에 신고할 것을 권고합니다.
보안관제센터 MIR Team