마이크로소프트(MS) 워드문서에서 발견된 DDE 취약점을 악용한 표적 공격이 발생하고 있어 주의가 필요하다.
보안기업 하우리는 '연구용역', '부품구매' 등과 관련된 내용으로 위장한 악성 워드문서가 유포되는 사례를 발견했다고 1일 밝혔다.
수신자가 이 악성 파일을 실행하면 윈도 응용 프로그램 간 같은 데이터를 공유하도록 허용하는 방법 중 하나인 DDE(Dynamic Data Exchange) 관련 보안취약점을 악용한 공격이 이뤄진다. DDE는 MS 액셀, 워드, 비쥬얼베이직 등 여러 응용프로그램에 사용된다.
해당 문서를 실행하면 두 개의 메시지창이 나타난다. 여기서 사용자가 확인 버튼을 누르면 악성 파워쉘 스크립트가 동작한다.
이 악성 파워쉘 스크립트는 국내 인재서비스 전문기업 웹사이트에서 추가로 악성코드를 받아와 실행한다.
이 악성코드는 기존 한컴오피스 한글문서 취약점을 악용하는 것과 같은 기능을 포함하고 있어 동일한 공격자 소행으로 추정된다.
하우리에 따르면 이러한 공격을 막기 위해서는 MS워드에서 파일->옵션->고급->일반에서 '문서를 열 때 자동 연결 업데이트' 항목을 체크해제하면 된다.
관련기사
- "비트코인 1억원 상당 가로챈 악성코드 등장"2017.11.01
- "윈도서버 2분내 감염"…美 NSA 공격툴 악용 랜섬웨어 등장2017.11.01
- "근로계약서 위장 HWP 악성코드 유포"2017.11.01
- "원격제어툴 기반 악성코드, 국내서 조직적으로 판매돼"2017.11.01
하우리CERT실은 "MS워드 DDE 취약점은 이미 해외에서 랜섬웨어를 비롯한 여러 악성코드 유포에 사용하고 있다"며 "이번에 발견된 워드문서는 국내 표적 공격에 사용된 첫 사례"라고 설명했다.
이어 "DDE는 기존의 오피스 매크로 방식에 비해 제작이 쉽고, 일반인들에게 알려지지 않았다"며 "앞으로 공격자들이 워드문서 DDE 취약점을 많이 사용할 것으로 예상되기 때문에 사용자들의 각별한 주의가 필요하다"고 덧붙였다.
