전체상품목록 바로가기

본문 바로가기

 
신규가입시 3,000P 지급
현재 위치
  1. 게시판
  2. 뉴스/이벤트

뉴스/이벤트

 

게시판 상세
제목 [Ahnlab]대북 관련 문서 이용한 IE 제로데이 공격 주의!
작성자 (주)소프트정보서비스 (ip:)
  • 평점 0점  
  • 작성일 2021-11-18
  • 추천 추천하기
  • 조회수 48

ASEC은 그 동안 지속적으로 대북 관련 내용을 포함하고 있는 악성 문서에 대해 소개해왔다. 최근에도 비슷한 형태의 파일을 이용한 공격들을 포착해 분석을 진행했다. 그런데 이번에 발견한 파일에서는 마이크로소프트가 지난 9월에 발표한 신규 취약점(CVE-2021-40444)을 포함하고 있다는 점에서 주목할만하다. 이번 글에서는 MSHTML 취약점(CVE-2021-40444)을 활용한 최신 공격에 대해 알아본다.

 

 

대북 관련 악성 문서는 과거부터 공격자들이 꾸준히 이용한 공격 방식이지만, 최근 공격자들은 신규 취약점을 활용하는 등 발빠르게 새로운 기법들은 적용해 유포를 시도하고 있다. 

 

CVE-2021-40444는 MSHTML 관련 원격 코드 실행이 가능한 취약점이다. MSHTML은 인터넷 익스플로러 브라우저 렌더링 엔진으로, 인터넷 익스플로러 및 오피스 문서 작업 프로그램에서 작동한다. 매그니베르 랜섬웨어도 9월부터 해당 취약점을 악용해 인터넷 익스플로러를 통해 지금까지 유포되고 있다.

 

해당 취약점(CVE-2021-40444)을 포함한 워드(.docx) 문서는 다음과 같이 대북 관련 파일명으로 유포되고 있다.

■ (2021-1118) 통일**원-**대 통일****원 공동세미나 프로그램(final).docx

■ +북.중.러 초국경협력 촉진을 위한 길잡이.docx


취약점 작동 방식은 [그림 1]과 같이 외부(External) 링크를 이용하고 있으며, 아래와 같은 순서대로 공격이 진행된다.

1.    MHTML(MIME HTML) 프로토콜을 통해 악성 URL에 접근

2.    오피스 문서 프로그램 내 브라우저 렌더링 엔진을 이용해 악성 구문으로 이루어진 자바스크립트(JavaScript) 실행

3.    CAB 파일을 다운로드하여 CAB 파일 내 INF 확장자를 가진 악성 DLL 파일을 로드해 악성 행위 실행

 

  

 [그림 1] 악성 문서 파일 내 XML 파일에 삽입되어 있는 외부(External) 링크

 

악성 행위가 실행되면 [그림 2]와 같은 문서 본문 내용을 확인할 수 있다. 문서 본문은 11월 18일(목)에 예정되어 있는 세미나 관련 내용을 포함하고 있다.

 

 

 [그림 2] 대북 관련 문서의 본문

 

대북 관련 문서  두개 모두 동일한 외부 URL로 접근하는 것으로 보아 동일 그룹의 소행으로 추정할 수 있다. 현재 서버는 열려있지만 접근하지 못하도록 막아놓은 상태이다.

 

위에 소개된 내용과 같이 대북 관련 악성 문서들은 다양한 취약점을 이용하여 꾸준히 유포되고 있으며, 문서 내용도 실제 관련된 내용을 담고 있어 사용자가 문서 파일을 실행해도 악성 파일임을 인지하기 어려워 각별한 주의가 요구된다.

 

  

[그림 3] V3 Lite 진단 

 

현재 V3는 아래와 같은 진단명으로 해당 악성코드를 사전에 탐지 및 차단하고 있다.

[파일 진단]

Downloader/XML.Generic

Exploit/XML.Cve-2021-40444.S1697

 

[IOC 정보]

1132d2a12b6fd6cbbc8046df3612d725

2edbab4834a1315b476278fb6ed2592f

809c4c40537c60e224363b94296fbbf2

hxxp://officeversion[.]mywebcommunity[.]org/ole/

  

보다 자세한 사항은 ASEC 블로그를 통해 확인할 수 있다. 

▶ASEC 블로그 바로가기 


첨부파일
비밀번호 수정 및 삭제하려면 비밀번호를 입력하세요.
댓글 수정

비밀번호 :

/ byte

비밀번호 : 확인 취소


HOME  COMPANY  BOARD  AGREEMNET  PRIVACY  GUIDE

011-17-010436

농협 / (주)소프트정보서비스

015-01-0690-148

국민 / (주)소프트정보서비스

WORLD SHIPPING

PLEASE SELECT THE DESTINATION COUNTRY AND LANGUAGE :

GO
close