본문 바로가기
포스트스크립트를 이용한 HWP 한글 문서 악성코드 주의 HWP 한글 문서를 이용한 악성코드가 4월부터 눈에 띄게 증가하고 있다. HWP 한글 문서 악성코드는 코로나19 관련 감염병관리지원단을 위장하여 전라남도, 인천광역시 등 다수 지역 이름으로 유포되었고, 며칠 전에는 한국수력원자력 채용 공고 문서로도 유포되었다. 공격자는 정상적인 만들어진 한글 문서에 악성 Encapsulated PostScript (EPS) 파일 개체를 삽입하였다. (아래 그림에서 검은색 박스로 표시) 최근 유포되는 HWP 한글 문서 악성코드는 이전 파일들과 비교하였을 때 포스트스크립트 문법 패턴을 매우 단순하게 하였다는 특징이 있다. 유연한 스크립트 언어인 포스트스크립트 문법적 특징을 이용하여 CVE-2017-8291 취약점 발생과 쉘코드 실행 부분을 모두 < > 안으로 표현되는 Hex.. 2020. 4. 28.
[주의] 이력서로 위장한 makop 랜섬웨어 (04.13) ASEC 분석팀은 4월 13일 이력서로 위장해 유포 중인 makop랜섬웨어를 발견하였다. 이메일의 압축 첨부파일 형태로 유포되며, 내부에는 한글 문서(.hwp) 아이콘의 실행파일(exe)이 존재한다. 금일 확인된 유포 파일명은 아래와 같이 어눌한 한글과 띄어쓰기를 사용한 것을 알 수 있다. 이를 통해 악성코드 유포자는 한글말 사용이 서툰 것으로 추정된다. 포트폴리오(200413)_항상 무었을하던지 열심히 최선을다하겠습니다.exe 이력서(200413)_항상 무었을하던지 열심히 최선을 다하겠습니다.exe 감염 시 원본파일명.[랜덤8자].[akzhq412@protonmail.ch].makop 로 파일명이 변경된다. MalPe 패커를 사용한 이력서 위장 랜섬웨어는 한달에 2~3번씩은 각각 다른 랜섬웨어를 사용해.. 2020. 4. 13.
kimsuky 그룹, 국회의원 선거기간 노린 공격정황 포착 어제(2020.04.09) 자사에서는 국회의원 선거관련 문서 형태의 악성코드가 유포 중임을 공개하였다. 해당 문서는 단독으로는 국회의원 선거관련 문서인지 알 수 없지만 다른 문서의 매크로를 통해 발현 됨을 확인하였다. 교묘하게 특정의 상황에서만 선거 관련 문서 내용이 확인 되도록 만들어져 특정 시스템을 타겟팅 했을 것으로 보인다.이 악성코드는 그간 알려진 kimsuky 그룹의 공격으로 확인되어 추가적인 내용을 공유하고자 한다. 'WORD 1'은 [그림1]과 같이 settings.xml.rels에 명시된 주소인 'saemaeul.mireene.com' 도메인에 연결하며 현재는 추가 데이터가 다운로드되지 않지만 다운로드 성공 시 생성되는 문서 'WORD 2'에서도 역시 같은 도메인에 연결을 시도한다. 해당 .. 2020. 4. 10.
주의! 21대 국회의원 선거관련 악성 워드문서 유포 중 ASEC분석팀은 21대 국회의원 선거관련 문서를 다운로드 받는 악성 워드문서를 발견하였다. 해당 문서파일은 실행 시 특정 URL에서 악성 파일을 다운로드 받는다. 확인된 외부 다운로드 주소는 아래와 같다. http[:]//saemaeul.mireene.com/skin/board/basic/bin 해당 파일을 성공적으로 다운로드 받은 경우, 아래와 같은 국회의원 선거관련 내용이 사용자에게 보여진다. 문서파일을 열 경우 아래와 같이 다운로드 시도 화면이 사용자에게 보여진다. 이러한 외부 다운로드 기능은 아래의 그림에서 알 수 있듯이 워드문서 내부 개체 중 "settings.xml.rels" 파일의 Target 항목에 의해 발생한다. 다운로드에 성공 할 경우, 추가로 아래의 주소로 사용자 정보가 유출되는 기능.. 2020. 4. 9.
'첨부도면 견적'을 위장하여 LZH 압축파일로 유포 중인 악성코드 자사에서는 지속적으로 피싱 메일을 통해 악성코드가 꾸준히 유포되고 있음을 확인하고 있다. 아래 [그림1]과 같이 어제(4월 2일)도 견적서 전달로 위장하는 피싱 메일이 유포 중임을 발견했다. 지난 블로그 글에서도 언급했듯이 공격자들은 피싱 메일에 악성파일을 다양한 압축 파일의 형태로 첨부하여 유포한다. [피싱 메일에 악성코드 첨부 유포 관련 지난 블로그 일부] .alz 압축 파일 부당 전자상거래 위반행위 사칭하여 Nemty 2.5 랜섬웨어 유포 https://asec.ahnlab.com/1282 .7z 압축 파일 3월 3일!! 또 다시 '전자상거래 위반행위 사칭' 신종 랜섬웨어 유포 중 https://asec.ahnlab.com/1294 .zip 압축 파일 압축 툴마다 압축해제 방식의 차이를 이용한 공격.. 2020. 4. 3.
'코로나바이러스 대응 긴급조회' 한글문서 악성코드 유포 ASEC분석팀은 '코로나바이러스 대응 긴급조회'로 위장한 악성 문서파일을 발견하였다. 과거 악성 문서파일들의 경우 Office 의 매크로 기능을 악용하여 사용자에게 콘텐츠 사용을 유도하는 방식을 주로 이용하였다. 그러나 이와 달리 4월 1일 발견된 문서 파일은 한글 파일을 사용하며, 전라남도 감염병관리지원단 을 사칭한 파일로 주의가 필요하다. 이 뿐만 아니라 인천광역시 감염병관리지원단을 사칭한 파일도 발견되고 있다. 이처럼 악성코드 제작자는 다양한 기관들을 사칭하고 있다. 한글 파일은 EPS(EncapEncapsulated Postscript) 파일을 포함하고 있으며 powershell.exe을 이용해 외부 URL 접속하여 추가 악성코드를 다운로드 한다. 다운로드된 파일은 정보탈취와 백도어의 기능을 가지.. 2020. 4. 2.
새로운 NEMTY 랜섬웨어 v3.1 국내 유포 중 (2020.04.01) 안랩 ASEC은 4월 1일 Nemty 랜섬웨어가 NEMTY REVENUE 3.1로 업데이트 되어 국내에 유포됨을 확인하였다. 유포 방식은 기존과 동일하게 이메일의 첨부파일 형태를 이용하였다. 현재까지 확인된 첨부파일 이름은 아래와 같이 '이력서', '포트폴리오', '부당 전자상거래 위반행위' 등의 문구를 사용하고 있어 기존과 크게 달라지지 않았다. 전산 및 비전사자료 보존 요청서(20200401)_자료보존하셔서 차후 부당 이익을 피하세요.exe 부당 전자상거래 위반행위 안내(20200401)_자료보존하셔서 차후 부당이익을 피하세요.exe 이력서_김지명_열심히 열정적으로 최선을 다하겠습니다 잘 부탁 드릴께요.exe 포트폴리오_김지명_열심히 열정적으로 최선을 다하겠습니다 잘 부탁드릴께요.exe 랜섬웨어 주요.. 2020. 4. 2.
[주의] 상여금 발급 청구서로 위장한 워드 문서파일 ASEC분석팀은 직원 활동 상여금 발급 청구서로 위장한 악성 문서파일을 발견하였다. 과거 악성 문서파일들의 경우 매크로 실행에 필요한 콘텐츠 사용을 유도하기 위해 Office 이미지 또는 Invoice (송장)등을 주로 이용하였다. 그러나 이와 달리 4월 1일 발견된 문서 파일은 상여금, 보너스 라는 단어들을 사용하여 매크로 사용을 유도하였다. 만약, 상여금을 받는 회사에 단체로 스팸메일이 발송 되었을 경우, 많은 사람들은 의심없이 해당 콘텐츠 사용을 누르게 되었을 것으로 생각된다. 파일명 : 직원활동상여금발급청구서.doc 콘텐츠 사용을 누르게 되면 아래 프로세스 트리와 같이 powershell.exe을 이용해 외부 URL 접속하여 DLL형식의 2차 악성 파일(log.txt)을 다운로드 받은 후, run.. 2020. 4. 1.