HAURI

전체메뉴 열기

Check Virus Alerts and HAURI News

긴급 악성코드 이슈와 하우리 소식을 확인하세요.

공지사항

[보도자료] (주)하우리, 워드문서 DDE 취약점을 이용한 국내 표적 공격 주의
등록일 :
2017.11.02

보안전문기업 (주)하우리(대표 김희천)는 최근 워드문서 DDE 취약점을 이용한 국내 표적 공격이 발견되고 있어 사용자들의 주의가 요구된다고 밝혔다.

이번 표적 공격에 사용된 악성 워드문서는 “연구용역”, “부품구매” 등과 관련된 내용으로 이메일을 통해 유포되었다. 수신자가 해당 문서를 실행할 경우 “DDE(Dynamic Data Exchange)” 취약점이 발생한다. 해당 취약점은 두 번의 메시지 창을 띄우며, 사용자가 확인 버튼을 누를 경우 악성 파워쉘 스크립트가 동작하도록 설계되었다.

동작한 악성 파워쉘 스크립트는 국내 소재 인재서비스 전문기업 홈페이지에서 추가 악성코드를 받아와 실행한다. 이는 기존에 한글문서 취약점을 통해 유포되고 있는 악성코드와 동일한 기능을 포함하고 있으며, 동일한 제작자의 소행으로 추정된다.

DDE는 윈도우 응용 프로그램 간에 동일한 데이터를 공유하도록 허용하는 여러 방법 중 하나이며, 마이크로소프트의 엑셀과 워드, 비쥬얼 베이직을 비롯한 여러 응용프로그램에서 사용한다. 워드 DDE 취약점 피해를 막기 위해서는 워드 프로그램에서 “파일 ▶ 옵션 ▶ 고급 ▶ 일반 ▶ 문서를 열 때 자동 연결 업데이트” 항목의 체크를 해제하면 된다.

하우리 CERT실은 “워드 DDE 취약점은 이미 해외에서 랜섬웨어를 비롯한 여러 악성코드 유포에 사용하고 있다”라며 “이번에 발견된 워드문서의 경우 국내 표적 공격에 사용된 첫 사례”라고 전했다. 또한 “DDE는 기존의 오피스 매크로 방식에 비해 제작이 쉽고, 일반인들에게 알려지지 않았다”라며, “앞으로 공격자들이 워드문서 DDE 취약점을 많이 사용할 것으로 예상되기 때문에 사용자들의 각별한 주의가 필요하다”고 덧붙였다.


 
[그림1. DDE 취약점을 활용한 표적 공격 악성 워드문서]



[그림2. 워드 DDE 취약점 예방법] 

Top