본문 바로가기 대메뉴 바로가기

정보보안 동향

MS Office 정상 URL 로 위장하여 유포중인 워드문서 주의 글의 상세내용

『 MS Office 정상 URL 로 위장하여 유포중인 워드문서 주의 』글의 상세내용을 확인하는 표로 제목, 부서명, 등록일, 조회, 첨부, 내용으로 나뉘어 설명합니다.

제목 MS Office 정상 URL 로 위장하여 유포중인 워드문서 주의
작성자 정보통신팀 등록일 2022-11-17 조회 430
첨부  

최근 워드문서로 위장한 악성코드가 특정 경로(카카오톡 단체 대화방)를 중심으로 유포되고 있어 사용자의 각별한 주의가 요구 됩니다.

 

보안 전문업체 안랩에 따르면 해당 워드문서에 사용된 URL이 정상 URL과 매우 정교하게 유사하게 구성되어 있어 사용자가 쉽게 인지하기 어렵다고 확인 하였습니다.

 

현재까지 확인된 악성 워드문서 파일명은 아래와 같으며 파일 명에서 확인되는 내국인의 경우 외교 안보 분야의 전문가로 대북, 대중, 설문지, 외교안보와 관련된 특징을 지니고 있습니다.

 

 

북방한계선(NLL) 문제에 관한 국제법적 검토와.docx

시진핑 3기체제 출범의 함의와 전망.docx

국가보위성 기구.docx

, 전례 없는 강공 도발 설문지.docx

□ ○○○, RIES_이슈인사이트_Vol.33, 시진핑 제3기 출범- 중국은 어디고 가고 있나.docx

(토론2_참고-1)(Chip)_4동명과한국의선택(○○○기고문).docx

(토론2__참고-2)4동맹과대외전략(○○○기고문).docx

(월드코리안) 시진핑 제3기 출범의 함의와 향후 전망.docx

패션과 인권 설문지.docx

 

[] 악성 워드문서 파일명

 

위의 파일들은 모두 OOXML(Office Open XML) 포맷을 가진 워드문서로 Template Injection 기능을 공격에 활용하고 있으며 해당 악성문서에 사용된 외부 링크 주소가 정상 URL의 유사성이 매우 높은 방식으로 구성되어 있어 사용자가 식별하기 어렵다는 특징을 나타내고 있습니다.

 

 

정상 URL

악성 URL

http://schemas.openxmlformat[s].org/officeDocument/

2006/relationships/attachedTemplate

hxxp://schemas.openxmlformat[.]org/officeDocu

ment/2006/relationships/o/word?officeid=NPW5D●●●DBS3V

정상 URL과 유사하나 스펠링(‘S’) 한 개 차이를 두어 정교하게 조작

 

[] 정상 · 악성 URL 비교

 

수집된 일부 워드 문서의 속성을 통해 해당 악성문서가 짧은 간격으로 수 일에 걸쳐 무분별하게 생산 및 배포되고 있는 것을 확인 할 수 있으며 사용자가 해당 URL을 활성화 하게 되면 개인정보 유출 및 2차 피해가 발생할 수 있어 각별한 주의가 요구됩니다.

  

[그림] 악성 워드 문서 속성

 

이러한 악성 워드문서에 속아 사용자의 중요 정보가 공격자에게 유출되어 2차 피해가 발생할 수 있기 때문에 발신자가 불분명하거나 의심스러운 이메일 및 채팅방에 포함된 첨부파일 열람을 지양하고 첨부된 문서파일 열람 시 [콘텐츠 사용] 기능을 활성화 하지 않아야 합니다. 

목록