OLE 패키지로 악성 스크립트를 실행하는 문서파일 주의

MS Office 제품군은 일반 및 기업 등에서 널리 이용되고 있는 주요 소프트웨어 중 하나입니다. 이스트시큐리티 시큐리티대응센터는 최근 MS 오피스 문서에 OLE(Object Linking and Embedding) 패키지와 같이 객체를 삽입해 실행을 유도하고, 타 호스트에서 특정 파일을 다운로드해 스크립트를 실행하는 기법의 악성코드가 이메일 첨부파일 형태로 유포 중인 것을 위협 관제 중 발견했습니다. 이는 MS 오피스 워드 매크로 방식이 아닌 점에서 주목되고 있습니다.

공격자는 이메일을 통해 온라인 거래가 중지되었으니, 첨부된 DOCX 리포트 파일을 검토해보라는 영문 내용과 함께 악의적인 기능을 수행하는 악성 문서를 첨부하였습니다.

[그림 1] docx 문서가 포함된 스팸 메일

만일 메일 수신자가 단순 호기심에 첨부된 문서를 무심코 클릭할 경우, 문서에 지정된 암호를 입력하도록 요구합니다. 실제 이메일 본문에 해당 암호가 기재되어 있으며, 수신자는 첨부된 리포트가 특정인만 볼 수 있는 것으로 오해할 수 있습니다. 공격자는 이러한 기법을 통해 공격 대상이 문서를 열람해 보고자 하는 관심도를 증폭시키고 있습니다. 

또한, 악성 문서에 암호를 지정해 해당 코드를 모를 경우, 이를 분석하지 못하게 하는 용도로 악용할 수도 있습니다.

[그림 2] 암호 입력

사용자가 암호를 정상적으로 입력하면, 공격자는 3가지 OLE 개체의 실행을 유도하기 위해 편집 기능을 활성화하도록 유도합니다. 

[그림 3] 편집 사용 활성화를 유도

편집 기능 활성화 이후, 사용자가 파일명을 토대로 외국에서 사용하는 정상 송장 파일인 것처럼 생각해 이를 실행하면 임시 폴더에 특정한 스크립트가 생성됩니다.

[그림 4] OLE 패키지의 레이블 위치

그리고 스크립트를 통해 특정 파일이 추가적으로 다운로드되고, 해당 악성코드에 따라 다양한 보안 위협에 노출될 수 있습니다.

[그림 5] 외부에서 특정한 파일을 다운로드

공격자는 지속적으로 다양한 방법을 사용하여 악성코드를 유포하고 있습니다. 관련 보안 위협에 노출되지 않기 위해, 사용자들은 출처가 불분명한 메일이나 첨부파일을 함부로 실행하지 않도록 각별히 주의하시기 바랍니다. 감사합니다.