HWP

誕生日を祝う内容に偽装した不正なアレアハングルドキュメント (OLE オブジェクト)

ASEC 分析チームは最近、不正なアレアハングルファイルをダウンロードする VBScript を確認した。このマルウェアの正確な配布経路は確認されていないが、VBScript は curl を通じてダウンロードされる。 現在確認されているコマンドは以下の通りである。 curl  -H \”user-agent: chrome/103.0.5060.134 safari/537.32\”…

活発に拡散し続けている BAT スクリプトを含む不正なアレアハングルドキュメント(北朝鮮/国防/放送)

ASEC 分析チームは、アレアハングルドキュメントの正常な機能(OLE オブジェクトリンクの挿入)を悪用する APT 攻撃を目的としたドキュメントが最近活発に拡散していることを確認した。3月8日に掲載した「第20代大統領選挙洋上投票報道資料を装った不正なアレアハングルドキュメントの拡散」のケース以降、攻撃者は国防、対北朝鮮、放送関係者をターゲットに持続的に不正なアレアハングルドキュメントを拡散している。 https://asec.ahnlab.com/jp/32440/ 不正なアレアハングルドキュメントの動作方式は、ドキュメント内に挿入された OLE オブジェクト(バッチファイル)が実行され、PowerShell を通じてシェルコードを正常なプロセスにインジェクションして動作するものである。この時、攻撃者は OLE オブジェクト(バッチファイル)が実行されるようにユーザーの本文のクリックを誘導する文章を主に挿入する。…

対北朝鮮に関する質問書タイトルのアレアハングルドキュメント(HWP)の拡散

最近、AhnLab ASEC 分析チームは 対北朝鮮に関する内容を含んでいる不正な WORD ファイルの拡散について共有した。そして今日、対北朝鮮に関する質問書内容のマルウェアがアレアハングルドキュメント(HWP)形式で配布されている状況を捕捉した。 捕捉した内容を確認すると、韓国国内の放送局が2020年12月15日、北朝鮮関連の討論アンケートで使用した文書が、マルウェアの製作者によって修正されたものと推定される。この不正なアレアハングル形式のファイルは、過去にも共有した手法の「リンクオブジェクト」が含まれているが、オブジェクトを挿入したパスの情報(C:\Users\Snow\AppData\Local\Temp)を通じて、Snow という名前のコンピュータ名を持つシステムにおいて当該ドキュメントが製作されたものと推定される。 文書タイトル:질의서-12월15일.hwp (翻訳:質問書-12月15日.hwp)  文書内容 上記…