연구용역·부품구매 내용으로 위장한 악성문서 주의

실시간
뉴스

침해사고/위협동향

연구용역·부품구매 내용으로 위장한 악성문서 주의

디지털데일리 발행일 2017-11-01 15:27:29

최민지

URL복사

[디지털데일리 최민지기자] 하우리(대표 김희천)는 최근 워드문서 DDE(Dynamic Data Exchange) 취약점을 이용한 국내 표적 공격이 발견되고 있어 사용자 주의가 요구된다고 1일 밝혔다.

이번 표적 공격에 사용된 악성 워드문서는 연구용역, 부품구매 등과 관련된 내용으로 이메일을 통해 유포됐다. 수신자가 해당 문서를 실행할 경우 DDE 취약점이 발생한다. 해당 취약점은 두 번의 메시지 창을 띄우며, 사용자가 확인 버튼을 누를 경우 악성 파워쉘 스크립트가 동작하도록 설계됐다.

동작한 악성 파워쉘 스크립트는 국내 소재 인재서비스 전문기업 홈페이지에서 추가 악성코드를 받아와 실행한다. 이는 기존에 한글문서 취약점을 통해 유포되고 있는 악성코드와 동일한 기능을 포함하고 있으며, 동일한 제작자의 소행으로 추정된다.

DDE는 윈도 응용 프로그램 간에 동일한 데이터를 공유하도록 허용하는 여러 방법 중 하나이며, 마이크로소프트의 엑셀과 워드, 비쥬얼 베이직을 비롯한 여러 응용프로그램에서 사용한다.

워드 DDE 취약점 피해를 막기 위해서는 워드 프로그램에서 ▲파일 ▲옵션 ▲고급 ▲일반 ▲문서를 열 때 자동 연결 업데이트 항목의 체크를 해제하면 된다.

하우리 CERT실은 “워드 DDE 취약점은 이미 해외에서 랜섬웨어를 비롯한 여러 악성코드 유포에 사용하고 있다”라 “이번에 발견된 워드문서의 경우 국내 표적 공격에 사용된 첫 사례”라고 말했다.

이어 “DDE는 기존의 오피스 매크로 방식에 비해 제작이 쉽고, 일반인들에게 알려지지 않았다”며 “앞으로 공격자들이 워드문서 DDE 취약점을 많이 사용할 것으로 예상되기 때문에 사용자들의 각별한 주의가 필요하다”고 덧붙였다.

<최민지 기자>cmj@ddaily.co.kr