ASEC분석팀은 21대 국회의원 선거관련 문서를 다운로드 받는 악성 워드문서를 발견하였다. 해당 문서파일은 실행 시 특정 URL에서 악성 파일을 다운로드 받는다. 확인된 외부 다운로드 주소는 아래와 같다.
- http[:]//saemaeul.mireene.com/skin/board/basic/bin
해당 파일을 성공적으로 다운로드 받은 경우, 아래와 같은 국회의원 선거관련 내용이 사용자에게 보여진다.
문서파일을 열 경우 아래와 같이 다운로드 시도 화면이 사용자에게 보여진다.
이러한 외부 다운로드 기능은 아래의 그림에서 알 수 있듯이 워드문서 내부 개체 중 "settings.xml.rels" 파일의 Target 항목에 의해 발생한다.
다운로드에 성공 할 경우, 추가로 아래의 주소로 사용자 정보가 유출되는 기능을 수행한다.
- http[:]//saemaeul.mireene.com/skin/board/basic/bin/report.php
현재는 해당 사이트 접속이 차단되어 아래의 그림만 사용자에게 보여지고, 추가 악성행위는 일어나지 않는다.
현재 V3에서는 이와 같은 문서 악성파일을 다음과 같은 진단명으로 진단하고 있다.
- XML/Dloader (2020.04.10.00)
4월 15일 예정된 21대 국회의원 선거일을 앞두고 이러한 선거관련 악성 문서파일의 유포가 빈번하게 발생할 수 있음으로 출처가 불분명한 문서파일의 경우 각별한 사용자 주의가 요구된다.
'악성코드 정보' 카테고리의 다른 글
| [주의] 이력서로 위장한 makop 랜섬웨어 (04.13) (0) | 2020.04.13 |
|---|---|
| kimsuky 그룹, 국회의원 선거기간 노린 공격정황 포착 (0) | 2020.04.10 |
| '첨부도면 견적'을 위장하여 LZH 압축파일로 유포 중인 악성코드 (0) | 2020.04.03 |
| '코로나바이러스 대응 긴급조회' 한글문서 악성코드 유포 (0) | 2020.04.02 |
| 새로운 NEMTY 랜섬웨어 v3.1 국내 유포 중 (2020.04.01) (0) | 2020.04.02 |
댓글