SectorJ01 Word malware disguised as a Windows 11 Alpha document to deploy the JSSLoader
최근 윈도우(Windows) 운영체제를 개발하는 마이크로소프트(Microsoft)에서 윈도우 10의 후속버전으로 윈도우 11 버전에 대한 공개 알파테스트를 진행한 사실이 언론을 통해 알려졌다.
새로운 윈도우 운영체제 관련 정보를 악성코드 유포에 활용하기 위해, 사이버 범죄 해킹 그룹 중 하나인 SectorJ01 그룹에서 윈도우 11 정보를 포함한 문서형 악성코드를 유포하였다.
이번에 발견된 윈도우 11 버전 정보를 주제로 한 문서형 악성코드는 마이크로소프트 오피스 제품 군 중 하나인 워드(Word) 형식으로 제작이 되었다.
[그림 1: 윈도우 11 버전 정보를 주제로 한 MS 워드 악성코드 실행 화면]
해당 악성 워드 문서의 최초 제작은 6월 29일 오후이며, 유포는 당일 야간부터 유포가 이루졌다. SectorJ01 그룹의 기존 악성코드 유포 행위 등의 특성을 고려 할 때 악성 스팸 메일의 첨부 파일 형태로 유포 되었을 것으로 판단 된다.
해당 악성 워드 문서를 열람하게 될 경우, 다운로드 기능을 수행하는 난독화 된 자바스크립트(JavaScript) 파일을 생성하고, 해당 해킹 그룹이 운영하는 다른 서버에서 랜섬웨어(Ransomware) 또는 원격 제어(Remote Access Trojan) 형태의 악성코드를 다운로드 시도 한다.
이는 최종적으로 기업 내부 중요 정보 등을 탈취하여 다크웹(DarkWeb) 등에서 판매 또는 유포 할 것으로 판단 된다.
SectorJ01 그룹이 윈도우 11 버전 정보를 활용한 워드 문서 형태의 악성코드는 현재까지 한국 및 중국을 포함한 동아시아 지역, 북미 지역 그리고 유럽 지역의 국가들에서 발견되었다.
기업 환경을 해킹하기 위한 악성 스팸 메일의 첨부 파일로 문서형 악성코드를 활용하는 SectorJ01 그룹의 TTP(Tactics, Techniques, and Procedures)는 지속적으로 유지 중에 있다.
그러므로, 기업 보안팀에서는 해킹 그룹들의 새로운 공격 기법이나 악성코드에 대한 위협 인텔리전스(Threat Intelligence)를 기업 내부망을 보호하기 위한 기술적, 전략적 방어 수단으로 활용해야 한다.
IoC(Indicators of Compromise) 및 권고 사항과 함께 개별 위협 이벤트를 자세히 설명하는 전체 보고서는 기존 NSHC ThreatRecon 고객에게 제공됩니다. 자세한 내용은 service@nshc.net으로 문의해 주시기 바랍니다.