인터뷰 질문지 문서 실행 후 타이핑 시 악성 매크로 작동해 PC 내 정보 공격자에 전송
외교·안보 단체 대화방에서 ‘NLL’, ‘중국 정치현황’ 등 제목의 문서 실행 시 공격자 서버 연결

[보안뉴스 김영명 기자] 

최근 외교·안보 관련 내용을 위장한 악성 문서파일이 잇따라 발견되어 관련 분야 전문가들과 종사자들의 각별한 주의가 요구되고 있다.
 

최근 발견된 사례는 인터뷰 질문지로 위장한 후 악성 매크로 사용을 유도해 정보를 탈취하거나, 메신저 단체 대화방에 외교·안보와 연관된 제목의 악성 문서를 유포해 열람을 유도하는 방식 등이다. 특히, 이 문서들의 내용을 미루어 볼 때, 연관 분야 종사자들을 노린 것으로 추정되어 해당 분야 전문가들의 주의가 필요하다.

안랩이 발견한 문서는 ‘CNA[Q].doc’라는 파일명으로 정부의 외교와 안보 정책 등에 대한 질문을 포함하고 있다. 만약 사용자가 답변 작성을 위해 타이핑을 시작하면 매크로 사용을 유도하는 메시지와 ‘콘텐츠 사용’ 버튼이 문서 상단에 나타난다. 사용자가 무심코 ‘콘텐츠 사용’ 버튼을 누르면 악성 매크로가 실행돼 사용자 PC의 최근 폴더 경로와 폴더 내용, 시스템 정보 등이 공격자의 서버로 유출된다.

특히, 이 문서를 열기 위해서는 암호가 필요한데, 공격자가 메일 본문에 암호를 적은 뒤 함께 유포한 것으로 추정된다. 이는 메일 본문에 포함된 암호 없이는 파일을 열 수 없도록 설정해 분석을 방해하는 동시에 공격 메일을 받은 당사자만 타깃으로 하기 위한 것으로 추정된다.


사용자가 만약 해당 문서를 실행하면 사용자 몰래 공격자가 원격에서 악성코드를 유포하고 정보탈취 등 공격을 수행하기 위해 사용하는 C2 서버로 연결된다. 이후 해당 서버로부터 정보탈취, 백도어 등 추가 악성코드를 내려받아 사용자가 접속한 기기에 설치할 것으로 추정된다.


피해 예방을 위해 사용자는 아래의 3가지 사항을 지켜야 한다.  

1) 출처가 불분명한 문서 파일의 실행 및 ‘콘텐츠 사용’ 버튼 클릭 금지  

2) 오피스 SW, OS 및 인터넷 브라우저 등 프로그램 최신 보안 패치 적용 

3) 백신 최신버전 유지 및 실시간 감시 기능 실행 등 기본 보안 수칙을 지킬 것 

[김영명 기자(boan@boannews.com)] 

원본출처 : 인터뷰 질문지 등 외교·안보 관련 문서로 위장한 악성 문서파일 유포 (boannews.com)