악성 한글문서(.hwp) 유포 파일명 변화과정 추적

그간 ASEC블로그를 통해 알려왔듯 아주 오랜 시간동안 악성 한글 문서를 이용한 공격이 끊임없이 이루어 지고 있다. 공격자는 문서파일 제목을 통해 사용자가 의심없이 실행하도록 유도하고 있으며, 이번 블로그 글에서는 최근 3달 동안 확인된 악성 한글파일 제목의 변화과정을 다뤄보고자 한다. 해당 정보는 ‘한글 문서를 통해 의심스러운 행위가 발생’했을 시 수집되는 자사 모니터링 시스템을 통해 확인 가능하였다.

주제 1 : 코로나 관련 (Lazarus 그룹 추정)

전라남도 코로나바이러스 대응 긴급조회.hwp
인천광역시 코로나바이러스 대응 긴급 조회.hwp
인천광역시 코로나바이러스 대응 긴급 조회-**대 김**.hwp
[붙임] 코로나19_관련_사증면제 정지 등 조치_알림.hwp

지금도 여전히 코로나와 관련한 이슈가 끊이지 않고 있는데 특히 지난 3월말부터 4월 동안 고강도 사회적 거리두기 했던 그 틈을 이용하여 코로나를 주제로한 한글 문서 파일이 유포되었었다. 위의 표와 같이 긴급성을 띄는 것처럼 보여 사용자의 심리를 자극하고 있으며 이러한 제목으로 4월 1일부터 4월 말까지 꾸준히 유포되어 졌다.

지난 블로그 : https://asec.ahnlab.com/1310

주제 2 : 부동산 정보 관련 (Lazarus 그룹 추정)

※(창고허득)경기 이천 율면 월포리.9980평.급18억.토목완.hwp
서대문 구북가좌동(증산역)공동주택부지내용(426평).hwp
(허가득)강서구 화곡동24-71상업지.75억.hwp

해당 문서 제목에서 유추가능 한 것처럼 부동산에 대한 정보들을 담고있는 문서들이다. 부동산 매매와 관련한 내용이 담긴 문서들로 이를 관심으로 가질 수 있는 대상이 타겟이 될 수 있는 점을 의도했을 것으로 보인다. 이러한 파일명은 4월 말부터 지금까지 꾸준히 유포 중에 있다.

지난 블로그 : https://asec.ahnlab.com/1323

주제 3 : 조력/풍력/수력 관련

시화조력발전소와 라 랑스발전소를 통하여 본 조력발전 활용 및 운영 최적화에 대한 연구.hwp
2020년 연구 전문원 및 수자원분야 경력사원 선발 모집요강.hwp
풍향풍속계검정기준.hwp
progress report-도서파력-**대학교_20200513_2025.hwp
파력발전용 웰즈터빈과 임펄스터빈의 성능비교.hwp
정**_쉬라우드 조류발전 수평축 터빈의 성능 향상에 대한 연구.hwp
이**_해상풍력터빈 석션버켓기초의 안전성 해석.hwp
대**선 변전실 구조계산서.hwp
중간진도보고-**텍-200515.hwp

위의 제목들을 통해 알 수 있듯 특히 해양에 관련된 제목으로 유포되는 정황이 4월말에서 5월 현재까지 확인되고 있다. 특정 연구 결과에 대한 정보 혹은 인력 채용을 위한 모집요강을 사칭하는 것으로 보인다. 특정 정보에 관심을 가진 사용자의 경우에는 이 문서들을 의심없이 열어볼 가능성이 매우 높아질 것이다.

주제 4 : 메일 계정 관련

**6001**@naver.com.hwp
**n15**@nate.com.hwp
**lee@kiost.ac.kr.hwp
cs.***ongb**@gmail.com.hwp
***3c0xsb**@naver.com.hwp
**nta**@piblock.co.hwp
**ildho**@hanmail.net.hwp

메일 계정을 문서의 제목으로 사용한 한글 파일들이 있다. 이는 수신인을 특정하여 유포되었을 가능성이 있을 것으로 추정된다. 수신인에게는 모르는 임의의 파일이 자신에게 전달된 정보가 있을 것으로 판단하여 문서를 열어볼 확률이 높을 것으로 판단된다.

그 외

카카오톡 받은 파일투자 내역.hwp
카카오톡 받은 파일수익구조.hwp
선정평가 문의내용.hwp
scm 관련 문의.hwp
근로계약서.hwp
협력사간 공정거래 협약서.hwp
볍률의견서.hwp
오디션 안내의 건.hwp 
장외주식 판매관련 자료.hwp 
0325 금융자료 입금 소명.hwp
고발장 자료.hwp
인터넷부 메뉴얼 추가.hwp
보상명부.hwp

위의 나열 된 주제들 외에도 많은 제목의 한글 파일들이 유포되고 있는데 이와 같이 한글 파일명과 내용을 그럴듯하게 만들어 사용자가 문서를 열람 할 수 있도록 유도하고 있는 것을 알 수 있다.

특히 그 외에 명시된 파일들의 경우 같은 해쉬를 가진 파일이나 일관성없이 다양한 문서의 제목으로 유포되고 있음을 확인하였다. 이 문서들은 코니(KONNI) 조직이 제작한 문서들로 작년 자사 블로그에서 언급한 공격 실행 형식을 그대로 사용하고 있다.

지난 블로그 : https://asec.ahnlab.com/1277

다양한 형태의 악성 한글 파일들이 지속 유포되고 있는데 특정 문서들은 문서의 내용까지도 그럴듯하게 작성하기 때문에 사용자들이 정상적인 문서내용을 확인하고 있다고 착각할 수 있다. 그리고 공격자들은 앞으로도 다양한 형태의 정보를 이용하여 유포할 가능성이 매우 높기 때문에 사용자들은 공격에 지속적으로 노출될 수 있다. 따라서 사용자들은 메일 뿐아니라 확인되지 않은 불분명한 발신인에게 받은 문서 파일의 열람은 절대 하지 않아야하며 지속적인 주의에 대한 경각심을 갖어야 한다.

0 0 vote
Article Rating
guest
0 Comments
Inline Feedbacks
View all comments