対北朝鮮関連のアレアハングルドキュメント(HWP)が拡散中 Posted By Hansoyoung , 2021年 December 29日 ASEC 分析チームは最近、対北朝鮮関連の不正なアレアハングルドキュメントファイルが拡散している状況を確認した。動作方式は脆弱性を利用したものではなく、ドキュメントを開いた際に表示される画面にユーザーのクリックを誘導するハイパーリンクを挿入し、これをクリックすることでドキュメント内部に含まれる実行ファイルが動作する方式である。このようにドキュメント内部に実行ファイルが存在しているものは正常なアレアハングルドキュメントでも確認されている特徴であり、これはオブジェクトの挿入によって可能な正常な機能であると言える。感染するとタスクスケジューラによって121分ごとに自動で実行されるように設定されており、追加で外部の不正なファイルを Google Drive (https://drive.google.com)を通じてダウンロードする構造である。また、動作プロセスにおいて V3 製品の検知画面を隠す特徴を持っている。実際に不正なファイルを検知し治療を行う過程には問題がないが、ユーザーが疑わしいファイルであることを認知できないようにしているため、格別な注意が要求される。このように、最近対北朝鮮関連のマルウェアが増加しており、検知を回避するための試みが確認されているため、注意が必要である。 ファイル名 : ONN-Construction activities near Chamjin-ri…
