다양한 전자 문서들의 취약점을 악용한 악성코드 주의!

관련 보안 패치를 설치하는 것이 중요

[보안뉴스 김태형] 안랩 시큐리티대응센터(이하 ASEC)는 “한글과 컴퓨터에서 개발하는 한글 워드프로세서와 마이크로소프트(Microsoft)에서 개발하는 워드(Word)에 존재하는 알려진 취약점을 악용하는 악성코드들이 동시에 3건이 발견되었다”고 밝혔다.

첫 번째 취약한 한글 파일은 ‘중공 5세대 핵심들의 불확실한 미래.hwp(241,873 바이트)’로 아래 이미지와 동일한 내용을 가지고 있다.

두 번째 취약한 한글 파일은 ‘미래모임.hwp(104,448 바이트)’이고 마지막으로 발견된 취약한 워드 파일은 ‘부서간 의사소통 조사 설문지.doc(361,026 바이트)’ 라는 문서 파일이었다.

해당 워드 파일은 CVE-2012-0158 취약점으로 ‘Microsoft Security Bulletin MS12-027 - 긴급 Windows 공용 컨트롤의 취약점으로 인한 원격코드 실행 문제점(2664258)’이라는 제목으로 이미 보안 패치가 배포 중인 취약점이다.

특히, 마지막 취약한 워드 파일의 경우에는 아래와 같이 사내 설문 조사 관련 전자 메일로 위장하여 첨부한 취약한 워드 파일을 실행하도록 유도하는 사회공학적 기법을 사용하고 있다.

From: 김** [mailto:surv***************sme@yahoo.co.kr]

Sent: Thursday, September 20, 2012 11:57 AM

To: 강**(KANG, **** ***)

Subject: 부서간 의사소통 조사 설문

동료 여러분:

안녕하십니까? 우선 이렇게 불쑥 이메일을 보내 폐를 끼치는 것에 대해 사과드립니다. 우리 회사의 여러 부서간 의사소통의 형편이 어떤지 더욱더 원활하게 진행되게 하는 방법이 없는지 조사하기 위하여 이번 설문조사를 베푸는 바입니다. 설문 내용을 잘 읽고 귀하께서 생각하시는 가장 적절한 항목을 선택해 주시기 바랍니다. 설문지는 첨부파일에 담겨 있습니다. 확인해 주십시오. 작성하신 후 직접 본 이메일 주소로 보내면 됩니다.

다시 한번 감사 드립니다.

ASEC는 “이번에 발견된 3개의 취약한 전자 문서들은 모두 기존에 알려진 취약점들을 악용하여 공통적으로 백도어 기능을 수행하는 악성코드들을 생성 및 실행하고 있다”고 설명했다.

이번 한글 워드프로세스와 워드에 존재하는 취약점을 악용하여 악성코드 감염을 시도하는 악성코드들 모두 V3 제품군에서 다음과 같이 진단한다.

-Dropper/Exploit-HWP

-HWP/Exploit

-DOC/Exploit

-Win-Trojan/Infostealer.45056

-Dropper/Infostealer.237222

-Win-Trojan/Infostealer.61480960

-Win-Trojan/Infostealer.52506624

-Win-Trojan/Infostealer.75264

-Dropper/Infostealer.191322

안랩의 APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.

-Exploit/HWP.AccessViolation-SEH

ASEC는 “앞서 언급한 바와 같이 이번에 발견된 취약한 전자 문서 파일들은 모두 기존에 알려진 취약점들을 악용하고 있으며, 한글과 컴퓨터 그리고 마이크로소프트에서 해당 취약점들을 제거할 수 있는 보안 패치를 배포중에 있다”면서 “향후 유사한 보안 위협들로 인한 피해를 예방하기 위해서는 관련 보안 패치를 설치하는 것이 중요하다”고 강조했다.

[김태형 기자(boan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)