‘코로나바이러스 대응 긴급조회’ 한글문서 악성코드 유포

ASEC분석팀은 ‘코로나바이러스 대응 긴급조회’로 위장한 악성 문서파일을 발견하였다. 과거 악성 문서파일들의 경우 Office 의 매크로 기능을 악용하여 사용자에게 콘텐츠 사용을 유도하는 방식을 주로 이용하였다.

감염병관리지원단 위장 악성 한글파일

그러나 이와 달리 4월 1일 발견된 문서 파일은 한글 파일을 사용하며, 전라남도 감염병관리지원단 을 사칭한 파일로 주의가 필요하다. 이 뿐만 아니라 인천광역시 감염병관리지원단을 사칭한 파일도 발견되고 있다. 이처럼 악성코드 제작자는 다양한 기관들을 사칭하고 있다.

악성 스크립트 실행

한글 파일은 EPS(EncapEncapsulated Postscript) 파일을 포함하고 있으며 powershell.exe을 이용해 외부 URL 접속하여 추가 악성코드를 다운로드 한다. 다운로드된 파일은 정보탈취와 백도어의 기능을 가지고 있으며 수집한 정보를 특정 C2로 전송한다.

[악성코드가 사용하는 C2]

hxxp://www.kingsvc.cc/index.php
hxxp://www.sofa.rs/wp-admin/network/server_test.php
hxxp://www.afuocolento.it/wp-admin/network/server_test.php
hxxp://www.mbrainingevents.com/wp-admin/network/server_test.php

현재 안랩 V3에서는 이와 같은 악성 한글 문서파일과 실행파일(EXE)을 다음과 같은 진단명으로  진단하고 있다.

  • HWP/Exploit (2020.04.02.00)
  • Trojan/Win32.Akdoor (2020.04.02.00)

또한, V3 제품에서는 행위엔진을 바탕으로 파일에 대한 시그니처 진단이 아닌 악의적인 행위를 모니터링하여 아래와 같이 사전에 탐지하고 있다.

  • Malware/MDP.Behavior.M2411
제품 탐지화면
0 0 vote
Article Rating
guest
0 Comments
Inline Feedbacks
View all comments