​

군사안보 월간지(4월호)를 위장해 유포 중인 악성 워드 문서의 파일명은 아래와 같다.

- 월간KIMA2021_4월호군사안보0330.docx

- 월간KIMA2021_4월호군사안보0331.docx


문서 파일은 실행 시 본문 내용이 보호되어 있는 상태이며, 보호 해제 시 다음과 같은 본문 내용을 확인할 수 있다.
　

[그림 1] 월간지를 위장한 본문 내용(1)

​
[그림 2] 월간지를 위장한 본문 내용(2)

해당 문서에서 접속하는 악성 External 주소는 다음과 같다.

- Target=”hxxp://beilksa.scienceontheweb.net/cookie/select/log/tmp?q=6″ TargetMode=”External”/>


확인된 2개의 워드 문서의 속성에서 확인되는 수정한 날짜와 만든이에 관한 정보는 아래와 같다.

​
[그림 2] 월간지를 위장한 본문 내용(2)
　

그리고, 실제 정상적으로 배포된 문서는 아래 그림과 같이 PDF 형태로 제공되고 있다.

​
[그림 4] PDF 형식으로 유포 중인 정상 문서 – 링크

앞서 밝혔듯, 최근 대북 관련 내용을 포함한 악성 워드 문서가 다수 유포 중이며, 북한 관련 업무를 수행하는 수신자에게 보내졌을 가능성이 매우 크다. 스팸 메일을 통한 사회공학적 기법의 공격이 증가하고 있는 만큼 사용자들은 이러한 공격에 피해를 입지 않도록 주의를 기울여야 한다.


현재 V3 제품에서는 해당 파일에 대해 아래와 같이 진단하고 있다.


[파일 진단]

Downloader/DOC.External (2021.04.03.00)



[IOC]

월간KIMA2021_4월호군사안보0331.docx (md5: fe4dd316363d3631c83c2995dd3775f4)

월간KIMA2021_4월호군사안보0330.docx (md5: 609c2473571bf703ce985b6e44b8e343)

hxxp://beilksa.scienceontheweb.net/cookie/select/log/tmp?q=6
　

[출처 : 안랩(((www.ahnlab.com)]